IPFW - pravidla

Martin Machacek mm at i.cz
Thu Jun 15 09:38:21 CEST 2000

Previous message: IPFW - pravidla
Next message: IPFW - pravidla
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 15-Jun-00 Aleš Kotmel wrote:
> Děkuji za obsáhlé školení o funkci natd, ale jeho funkci znám.

Tak tedy promiňte, že jsem Vás vysvětlení obtěžoval, ale z Vašich odpovědí se
mi nezdálo, že byste věci příliš rozuměl.

> Já si chci napsat pravidla, na základě kterých přesně řeknu, které pakety
> odejdou a které pakety přijdou.

V případě, že rozumíte principům funkce natd a způsobu vyhodnocování pravidel v
paket filtru, tak toto pro Vás jistě bude hračka. Mohu Vás ujistit, že jak
ipfw, tak natd fungují přesně tak, jak je popsáno v manuálových stránkách a
chyba tedy není v systému.

> Ale pravidlo platné pro vstup paketů typu 
> 
> allow tcp from any to any
> 
> to není filtrovací pravidlo, to jsou otevřené dveře.

Ano, pokud to je jediné pravidlo, které máte definované. Nevím co Vás
vede k doměnce, že toto pravidlo se uplatňuje pouze pro VSTUP paketů.

> Můžete mi tedy prosím ukázat, jak vy by jste napsal pravidla podle kterých
> mají pakety odejít na www server a přijít pakety z www serveru ?
> Pravidlo pro odchod paketů bude vypadat například takto:
> 
> allow tcp from 195.250.137.147 to any 80 out xmit fxp0
> 
> A jak bude vypadat pravidlo pro příchod paketů?

Na pravidla nelze pohlížet izolovaně. To jsem se Vám (mimo jiné) snažil
vysvětlit ve svém posledním mailu. Jistě bych Vám mohl  dodat kompletní
konfiguraci firewallu, která by přesně omezovala komunikaci, tak jak byste si
přál, ale bohužel ne zadarmo. Domnívám se, že s informacemi, které můžete zíkat
v manuálových stránkách a jiné dokumentaci dodávané se systémem (např. v
defaultním souboru /etc/firewall.conf, který je velmi hustě komentovaný), možná
s troškou hledání v mailing-listech, kde je možné nalézt řadu příkladů
konfigurace, si budete schopný potřebná pravidla vymyslet sám.

Diskuzi bych ze své strany ukončil odpovědí na Vaší původní otázku; ptal jste
se, proč Vám paket filtr nefunguje tak jak chcete. Odpověď je tato: protože ho
nemáte dobře zkonfigurovaný, což je dle mého soudu zapříčiněno tím, že ne úplně
dobře rozumíte postupu vyhodnocování pravidel v ipfw a jeho interakce s natd
(to jsem se Vám celou dobu snažil sdělit a také trošku osvětlit).

Přeji hezký den,

        Martin 

---
[PGP KeyID F3F409C4]

Previous message: IPFW - pravidla
Next message: IPFW - pravidla
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list