Re: ipfw mit vnet

From: Bernd Walter <ticso(at)cicely7.cicely.de>
Date: Sat, 12 Jul 2014 15:58:44 +0200

On Wed, Jul 09, 2014 at 03:48:06PM +1000, Peter Ross wrote:
> Hallo,
>
> vielleicht fällt ja doch noch jemandem was auf? Ich habe das eben an die
> freebsd-jail-Liste geschickt, ich vermute, irgendwas ist mit ipfw/natd und
> vnet-Jails faul.
>
> Ich habe versucht, die Regeln ein bißchen zu vereinfachen (z.B. allen
> recv/xmit-Interface-Kram rauszulassen).
>
> Hier nochmal das Setup:
>
> Internet->age0(Host-Interface mit natd und externer IP)
> ->bridge10(10.0.10.254)->epair1a
> ->epair1b(10.0.10.1 im bind vnet-Jail)
>
> Im Jail wird alles durchgelassen
> (ipfw allow ip4 from any to any)
>
> Hier die relevanten Regeln, um UDP port 53 zum DNS-Server "durchzulassen"
> (mit natd.conf "redirect_port udp 10.0.10.1:53 external.ip:53")
>
> 00100 divert 8668 ip4 from any to any via age0
> 03100 allow udp from any to 10.0.10.1 dst-port 53 keep-state
> 03200 allow udp from any to me dst-port 53 keep-state
>
> Ich muß
>
> 03300 allow udp from me 53 to any
>
> hinzufügen, bis ich von draußen zugreifen kann.
>
> Heißt das, ipfw/natd arbeiten in diesem Setup nicht richtig mit
> "keep-state"?

Der Klassiker mit keep-state und NAT ist folgender:
Packet kommt rein und geht durchs NAT.
Packet wird als statefull erkannt und ein allow-Eintrag erfolgt.
Packet landed beim Ziel und wird beantwortet.
Anwortpacket wird von Statefull erlaubt und landed nicht mehr beim NAT
für die rausgehende Rückübersetzung.

-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 12 Jul 2014 - 15:58:58 CEST

search this site