URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 42248
[ Назад ]

Исходное сообщение
"Обработка правил firewall после NAT во FreeBSD 4.x"
Отправлено Vd , 29-Мрт-04 12:39

Имеем систему FreeBSD 4.x, IPFW и NAT для выхода локалки в инет.
Интересует как происходит дальнейшая обработка фаерволом после прохождения через NAT. Возмем например такую конфигурацию:
00100 allow ip from any to any via lo0
00200 divert 8668 ip from any to any via ed0
00300 allow ...
00400 allow ...
...
65535 deny ip from any to any
Будет ли пакет исходящий/входящий во/из вне через ed0 проверять правилами фаервола 300, 400 и т.д? Просто читаю документацию что после divert поиск прекращается. Где, например, писать правило (до 200 правила или после) на разрешение установления соединения с моим сервером из вне? Когда NATа нет, как работает ipfw понятно, а с NAT не все становится прозрачно. Может где можно еще почитать по этому, подскажите плиз.

Содержание

Обработка правил firewall после NAT во FreeBSD 4.x,diam, 13:00 , 29-Мрт-04
- Обработка правил firewall после NAT во FreeBSD 4.x,Vd, 13:13 , 29-Мрт-04
Обработка правил firewall после NAT во FreeBSD 4.x,lavr, 13:05 , 29-Мрт-04
Обработка правил firewall после NAT во FreeBSD 4.x,Alexander Grigoriev, 13:12 , 29-Мрт-04

Сообщения в этом обсуждении

"Обработка правил firewall после NAT во FreeBSD 4.x"
Отправлено diam , 29-Мрт-04 13:00

>00100 allow ip from any to any via lo0
>00200 divert 8668 ip from any to any via ed0
>00300 allow ...
>00400 allow ...
У меня правила записаны по другому:
00100 allow ip from any to any via lo0
00200 divert 8668 ip from any to xxx.xxx.xxx.xxx recv ed0
00300 divert 8668 tcp from 192.168.100.10 to any 25 out via ed0
01000 allow ip from me to any
01100 allow tcp from any to me established
....
01500 allow tcp from 192.168.100.10 to any 25
...
Здесь ed0 - внешний интерфейс, а xxx.xxx.xxx.xxx - внешний IP
Нат работает следующим образом: после "заворачивания" IP-пакета, у него адрес источника изменяется на xxx.xxx.xxx.xxx, а в пакет добавляется информация для восставновления пакета.
Соответственно, ты сначала применяй divert, а уже потом - allow.

"Обработка правил firewall после NAT во FreeBSD 4.x"
Отправлено Vd , 29-Мрт-04 13:13

>>00100 allow ip from any to any via lo0
>>00200 divert 8668 ip from any to any via ed0
>>00300 allow ...
>>00400 allow ...
>
>У меня правила записаны по другому:
>00100 allow ip from any to any via lo0
>00200 divert 8668 ip from any to xxx.xxx.xxx.xxx recv ed0
>00300 divert 8668 tcp from 192.168.100.10 to any 25 out via ed0
>
>01000 allow ip from me to any
>01100 allow tcp from any to me established
>....
>01500 allow tcp from 192.168.100.10 to any 25
>...
>Здесь ed0 - внешний интерфейс, а xxx.xxx.xxx.xxx - внешний IP
>
>Нат работает следующим образом: после "заворачивания" IP-пакета, у него адрес источника изменяется
>на xxx.xxx.xxx.xxx, а в пакет добавляется информация для восставновления пакета.
>Соответственно, ты сначала применяй divert, а уже потом - allow.
И все-таки после divert обработка фаерволом продолжается?

"Обработка правил firewall после NAT во FreeBSD 4.x"
Отправлено lavr , 29-Мрт-04 13:05

>Имеем систему FreeBSD 4.x, IPFW и NAT для выхода локалки в инет.
>
>Интересует как происходит дальнейшая обработка фаерволом после прохождения через NAT. Возмем например
>такую конфигурацию:
>00100 allow ip from any to any via lo0
>00200 divert 8668 ip from any to any via ed0
>00300 allow ...
>00400 allow ...
>...
>65535 deny ip from any to any
>Будет ли пакет исходящий/входящий во/из вне через ed0 проверять правилами фаервола 300,
>400 и т.д? Просто читаю документацию что после divert поиск прекращается.
>Где, например, писать правило (до 200 правила или после) на разрешение
>установления соединения с моим сервером из вне? Когда NATа нет, как
>работает ipfw понятно, а с NAT не все становится прозрачно. Может
>где можно еще почитать по этому, подскажите плиз.
http://ipfw.ism.kiev.ua/ - отсылайте свои благодарности и замечания автору

"Обработка правил firewall после NAT во FreeBSD 4.x"
Отправлено Alexander Grigoriev , 29-Мрт-04 13:12

>Имеем систему FreeBSD 4.x, IPFW и NAT для выхода локалки в инет.
>
>Интересует как происходит дальнейшая обработка фаерволом после прохождения через NAT. Возмем например
>такую конфигурацию:
>00100 allow ip from any to any via lo0
>00200 divert 8668 ip from any to any via ed0
>00300 allow ...
>00400 allow ...
>...
>65535 deny ip from any to any
>Будет ли пакет исходящий/входящий во/из вне через ed0 проверять правилами фаервола 300,
>400 и т.д? Просто читаю документацию что после divert поиск прекращается.
>Где, например, писать правило (до 200 правила или после) на разрешение
>установления соединения с моим сервером из вне? Когда NATа нет, как
>работает ipfw понятно, а с NAT не все становится прозрачно. Может
>где можно еще почитать по этому, подскажите плиз.

Читать man natd.
После прохождения через NAT пакет возвращается в файрвол на правило со следующим порядковым номером.