форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Обработка правил firewall после NAT во FreeBSD 4.x"
Сообщение от Vd on 29-Мрт-04, 12:39  (MSK)
Имеем систему FreeBSD 4.x, IPFW и NAT для выхода локалки в инет. Интересует как происходит дальнейшая обработка фаерволом после прохождения через NAT. Возмем например такую конфигурацию: 00100 allow ip from any to any via lo0 00200 divert 8668 ip from any to any via ed0 00300 allow ... 00400 allow ... ... 65535 deny ip from any to any Будет ли пакет исходящий/входящий во/из вне через ed0 проверять правилами фаервола 300, 400 и т.д? Просто читаю документацию что после divert поиск прекращается. Где, например, писать правило (до 200 правила или после) на разрешение установления соединения с моим сервером из вне? Когда NATа нет, как работает ipfw понятно, а с NAT не все становится прозрачно. Может где можно еще почитать по этому, подскажите плиз.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Обработка правил firewall после NAT во FreeBSD 4.x"
Сообщение от diam (ok) on 29-Мрт-04, 13:00  (MSK)
>00100 allow ip from any to any via lo0 >00200 divert 8668 ip from any to any via ed0 >00300 allow ... >00400 allow ... У меня правила записаны по другому: 00100 allow ip from any to any via lo0 00200 divert 8668 ip from any to xxx.xxx.xxx.xxx recv ed0 00300 divert 8668 tcp from 192.168.100.10 to any 25 out via ed0 01000 allow ip from me to any 01100 allow tcp from any to me established .... 01500 allow tcp from 192.168.100.10 to any 25 ... Здесь ed0 - внешний интерфейс, а xxx.xxx.xxx.xxx - внешний IP Нат работает следующим образом: после "заворачивания" IP-пакета, у него адрес источника изменяется на xxx.xxx.xxx.xxx, а в пакет добавляется информация для восставновления пакета. Соответственно, ты сначала применяй divert, а уже потом - allow.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Обработка правил firewall после NAT во FreeBSD 4.x"
	Сообщение от Vd on 29-Мрт-04, 13:13  (MSK)
	>>00100 allow ip from any to any via lo0 >>00200 divert 8668 ip from any to any via ed0 >>00300 allow ... >>00400 allow ... > >У меня правила записаны по другому: >00100 allow ip from any to any via lo0 >00200 divert 8668 ip from any to xxx.xxx.xxx.xxx recv ed0 >00300 divert 8668 tcp from 192.168.100.10 to any 25 out via ed0 > >01000 allow ip from me to any >01100 allow tcp from any to me established >.... >01500 allow tcp from 192.168.100.10 to any 25 >... >Здесь ed0 - внешний интерфейс, а xxx.xxx.xxx.xxx - внешний IP > >Нат работает следующим образом: после "заворачивания" IP-пакета, у него адрес источника изменяется >на xxx.xxx.xxx.xxx, а в пакет добавляется информация для восставновления пакета. >Соответственно, ты сначала применяй divert, а уже потом - allow. И все-таки после divert обработка фаерволом продолжается?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Обработка правил firewall после NAT во FreeBSD 4.x"
Сообщение от lavr on 29-Мрт-04, 13:05  (MSK)
>Имеем систему FreeBSD 4.x, IPFW и NAT для выхода локалки в инет. > >Интересует как происходит дальнейшая обработка фаерволом после прохождения через NAT. Возмем например >такую конфигурацию: >00100 allow ip from any to any via lo0 >00200 divert 8668 ip from any to any via ed0 >00300 allow ... >00400 allow ... >... >65535 deny ip from any to any >Будет ли пакет исходящий/входящий во/из вне через ed0 проверять правилами фаервола 300, >400 и т.д? Просто читаю документацию что после divert поиск прекращается. >Где, например, писать правило (до 200 правила или после) на разрешение >установления соединения с моим сервером из вне? Когда NATа нет, как >работает ipfw понятно, а с NAT не все становится прозрачно. Может >где можно еще почитать по этому, подскажите плиз. http://ipfw.ism.kiev.ua/ - отсылайте свои благодарности и замечания автору
	Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Обработка правил firewall после NAT во FreeBSD 4.x"
Сообщение от Alexander Grigoriev on 29-Мрт-04, 13:12  (MSK)
>Имеем систему FreeBSD 4.x, IPFW и NAT для выхода локалки в инет. > >Интересует как происходит дальнейшая обработка фаерволом после прохождения через NAT. Возмем например >такую конфигурацию: >00100 allow ip from any to any via lo0 >00200 divert 8668 ip from any to any via ed0 >00300 allow ... >00400 allow ... >... >65535 deny ip from any to any >Будет ли пакет исходящий/входящий во/из вне через ed0 проверять правилами фаервола 300, >400 и т.д? Просто читаю документацию что после divert поиск прекращается. >Где, например, писать правило (до 200 правила или после) на разрешение >установления соединения с моим сервером из вне? Когда NATа нет, как >работает ipfw понятно, а с NAT не все становится прозрачно. Может >где можно еще почитать по этому, подскажите плиз. Читать man natd. После прохождения через NAT пакет возвращается в файрвол на правило со следующим порядковым номером.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.