Re: webserver in jail von aussen ansprechen

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 6 Feb 2006 14:42:10 +0100 (CET)

Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
> On Mon, 6 Feb 2006, Alvar Freude wrote:
> > ipfw add 1000 fwd <interne-ziel-ip[,port]> tcp from any to <ext-ip> 80
>
> Du musst ja auch von aussen nach innen forwarden, und m.W. brauche ich NAT
> (und drum natd).

Es ist genau andersherum. NAT braucht man für die Richtung
von innen nach ausßen.

> Der Grund: Ein fwd veraendert die Zieladresse im Paket nicht, und wenn ich
> so etwas von der externen IP an die interne IP (und das interne Interface)
> weiterleite, sagt die muede: "Ist nicht fuer mich", und laesst sie fallen
> (oder schickt sie zurueck an die externe?)

Nein. Das »fwd« verändert die Zieladresse (und auch den
Zielport) im Paket zwar nicht, aber das spielt keine Rolle,
wenn es sich um eine lokale Adresse handelt. IPs oder In-
terfaces lehnen keine Pakete aufgrund der Zieladresse ab
(oder schicken sie gar irgendwohin zurück). Das ist Aufga-
be des Routingcodes. Durch das »fwd« wird praktisch das
lokale Routing für das betreffende Paket festgelegt.

Ein Problem gibt es bei »fwd« nur dann, wenn die Ziel-IP
nicht lokal ist, sondern auf einem anderen Rechner. Dieser
andere Rechner muß dann natürlich explizit so konfiguriert
sein, daß er Pakete mit der betreffenden (unveränderten)
Zieladresse annimmt.

> NAT dagegen schreibt die Zieladresse um.

Nein. NAT schreibt die Quelladresse um (für rausgehende
Pakete). Darum (und _nur_ darum) braucht man NAT.

Man kann natürlich auch die Zieladresse für reinkommende
Pakete umschreiben, aber das sollte in diesem Fall nicht
notwendig sein.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"FreeBSD is Yoda, Linux is Luke Skywalker"
        -- Daniel C. Sobral
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 06 Feb 2006 - 14:44:22 CET

search this site