Re: stateful Firewall und Timeouts

From: Bernd Walter <ticso(at)cicely5.cicely.de>
Date: Mon, 8 Jul 2002 18:14:28 +0200

On Mon, Jul 08, 2002 at 06:03:02PM +0200, Christian Lackas wrote:
> * Bernd Walter <ticso(at)cicely5.cicely.de> [020708 15:48]:
>
> Hallo Bernd,
>
> > > # loopback device
> > > # anti-spoofing
> > > # nat
> > > ${fwcmd} add divert natd all from any to any via ${natd_interface}
> >
> > Und da ist schon der Fehler.
> > Die Zeile verbiegt die Packte vor dem check-state, wodurch dieser dann
> > nichts vom vollständigen Verbindungsaufbau erfährt.
> > Du musst die check-state Zeile vorziehen.
>
> Das verstehe ich noch nicht ganz. Ich dachte nach dem »check-state«
> (wenn es denn machted) verläßt das Paket die Firwall. Dann würde es ja
> nie beim natd ankommen. Ich bin davon ausgegangen, dass alle Pakete
> durch NAT müssen, damit sie ans richtige Ziel kommen.

Richtig.
Die Packete die durch den natd gehen bekommen auch keinen keep-state.
Wozu auch - natd pflegt ja seine eigene Liste.

Wenn du dir das mal genau anschaust.
Oben mache ich:
ipfw add deny log ip from any to 10.1.0.0/16 in via tun0
Nach dem divert weiter unten:
ipfw add allow tcp from any to 10.1.0.0/16
ipfw add allow udp from any to 10.1.0.0/16
Das sind die reinkomenden Packete für die natd einen Eintrag in seiner
Tabelle gefunden hat und deshalb übersetzt wurden.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 08 Jul 2002 - 18:14:36 CEST

search this site