Hallo,
ich habe einen Test-Server aufgesetzt, der einen ipfw-Firewall bekommen
hat, und einen internen Switch.
In einem "vnet-Jail" läuft ein DNS-Server.
Setup:
(Internet)->age0(115.186.196.107)->bridge10(10.0.10.254)->bind(10.0.10.1)
Ich habe einen ipfw-Firewall und einen natd am Interface age0. Relevante
Regeln auf dem Hostsystem:
00100 divert 8668 ip4 from any to any via age0
..
01000 allow ip from any to any established
..
03800 allow udp from any to 10.0.10.1 dst-port 53 in recv age0 keep-state
03900 allow udp from any to 10.0.10.1 dst-port 53 out recv age0 xmit
bridge10 keep-state
04000 allow log ip from any to any
Die letzte soll mir die durch die vorher nicht abgefangenen Pakete
anzeigen.
Der natd hat folgende Regel:
redirect_port udp 10.0.10.1:53 115.186.196.107:53
Ein externes Paket (DNS-Abfrage) kommt hinein, wird vom natd nach
10.0.10.1 umgeleitet und kommt ebenfalls wieder hinaus (die Antwort vom
DNS-Server).
Wie auch immer, am Loginterface sehe ich dieses Paket:
06:07:35.126536 IP 115.186.196.107.53 > 115.186.196.106.38905: 29605*-
1/1/0 A 115.186.196.107 (81)
Das heißt, es wurde erst durch die 04000-Regel (from any to any) erfaßt.
Sollten nicht natd und keep-state-Regeln ausreichen, um das Paket wieder
durchzulassen?
Ich habe vergleichbare ipfw/natd mit physischen Interfaces intern ("echte
Router") mit diesen keep-state-Regeln laufen, dort brauche ich keine
Extraregel für den externen "Ausgang", soweit ich sehe.
(Die haben doch eine Menge Regeln, so daß ich hoffentlich keine
unerwarteten Nebeneffekte habe..)
Nebenbei: ipfw, weil Listenmails zufolge pf nicht mit vnet-Jails mag. Wenn
jemand etwas über den Fortschritt auf dem Gebiet weiß, würde mich das
interessieren.
Es grüßt
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 07 Jul 2014 - 08:56:15 CEST