On Tue, Feb 19, 2002 at 06:32:08PM +0100, Bjoern Engels wrote:
> On Tuesday, 19. February 2002 18:10, Bernd Walter wrote:
>
>
> > Da sind haufenweise Fehler drin (abgesehen von den Tippfehlern).
> > 1. setup und established sind in zeiten von keep-state mehr als
> > fraglich.
>
> Ich denke, das funktioniert nicht in Kombination mit natd ?
> (Wär ja schön, wenn mich jemand erhellen könnte, daß es doch
> funktioniert;-)
Es läuft hier selbst mit einer Dynamischen IP.
Ist aber zugegeben etwas Trickreich.
Einfacher Fall für reinkommende Packete:
Packete von aussen an interne IP sperren.
Ein reinkommendes Packet geht zum natd.
Dann ein check-state.
Jetzt erlaubst du alles an die Internen IPs.
Dann sperrst du den Rest.
Wenn der natd eine Session erkennt setzt der um und die nächste
Regel sorgt fürs OK.
Wenn der natd die Session nicht erkennt läuft das Packet
unverändert weiter und kann vom check-state legitimiert werden,
wenn es von einer offiziellen IP (z.B. der Router selber) kam.
Ansonsten halt - ist nicht.
Für die Regel der rausgehenden Packete sollte man darauf achten,
daß keep-state nicht für übersetzte Packete gemacht wird, da
die Regeln nicht mehr abgebaut würden.
Ich hänge mal ein Standartbeispiel an.
-- B.Walter COSMO-Project http://www.cosmo-project.de ticso(at)cicely.de Usergroup info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message