ipfw dynamic ruleset + NAT

[Sramek Dalibor]

> 	IPFW - protoze NAT je user-level proces, kteremu paket nekdo musi predat,
> a tim "nekdo" je v tomto pripade IPFW. A pokud mu ho nikdo explicitne
> nepreda, vubec ho nedostane.
> 	Pri psani ruli je nutne pocitat i s tim, ze paket prochazi firewallem
> vlastne dvakrat - na vstupnim interface a znovu na vystupnim a pri
> pouziti NATu a predavani paketu pres DIVERT (a v zavislosti na nastaveni
> net.inet.ip.fw.one_pass) pocitat i s tim, ze pred divertem se paket
> rulemi pohybuje "pred prekladem" a po divertu "po prekladu".

V man ipfw se o promenne one_pass pise v souvislosti s dummynetem. Ma neco
spolecneho i s NATem?

Jinak problem s prekladem v kombinaci s dynamickymi pravidly je prave v
tom, ze pokud se na odchozi paket s prenatovanou adresou necha vytvorit
dynamicke pravidlo, mam u prichoziho paketu dve moznosti:
1, nejdriv NAT, pak test dynamickych pravidel - to nefunguje, protoze nat
zmeni cilovou adresu
2, nejdriv test dyn. pravidel a pak uz nic, protoze tim paket opusti
zpracovani

> 	Ostatne, je na miste upozornit, ze konstrukce firewallu za pouziti
> "keep-state" je pomerne nachylna na DoS utoky, takze je rozumne se ji
> vyhnout vzdy, kdyz to je jen trochu mozne.

Podle meho nazoru je to idealni reseni pro site, kde veskery provoz je
iniciovan zevnitr a uzivatele jsou duveryhodni (u me doma ;-).

Dalibor Sramek