Firewall

[Tyman Vladimir]

Večeřa Antonín wrote:
> Ale zde jsou pouzita stavova pravidla (keep state).
> Me zajimalo, zda lze na ipf+ipnat s nestavovymi pravidly
> zablokovat pakety z venkovni site adresovane do privatni site.

Jen pro upresneni, protoze tady bylo ve spouste odpovedi na puvodni 
dotaz uveden spravne ipfw+natd a to se jinak konfiguruje a (zrejme i 
jinak chova) nez vami polozeny dotaz k ipfilteru.
Pokud se ptate se na kombinaci ipf+ipnat jinymi slovy ipfilter od 
D.Reeda tak tedy ipfilter funguje pokud me pamet neklame takto:

input-paket->input-iface->ipnat->ipf->kernel->ipf->ipnat->output-iface->output-paket

Samozrejme pro obraceny smer toku je to v reverznim poradi a samozrejme 
pokud vase pravidla pro ipnat a ipf dovoli paketu projit firewallem :)

 >
 > Zjednodusene schema toku paketu by melo byt takto:
 >
 > Internet -> ipnat -> ipf(outside) -> kernel -> ipf(inside) -> LAN
 >
 > Takze podle mne na "ipf(outside)" nepoznam, jestli nastal preklad adresy
 > nebo ne.
 >
 > Takze kdyz budu chtit NAT a bezstavova pravidla, tak musim sahnout po 
ipfw?
 >
 > Antonin V.
 >


Pokud je to tak jak jste to napsal pak v ipf(outside) opravdu nepoznate 
src adresu, ale otazka je proc to chcete takhle zkonfigurovat?
Ve vasem pripade vidim tyto moznosti:
1. I primo v ipnatu (map/rdr pravidle) muzete provadet (jednoduchou; 
src/dst/proto/port) filtraci co se ma/nema prekladat (tzv. policy nat).
2. Je skutecne nezbytne prekladat paket pred jeho prichodem do 
ipf(outside) a ne az v ipnat(inside)?
3. Mozna, ze to treba pro vase pozadavky vubec nebude zapotrebi.
Bylo by lepe se zeptat ceho chcete dosahnout respektive jaky je vas cil 
pak uz se muzeme tady spolecne pokusit vam konkretneji poradit.

VT

-- 
Vladimir Tyman
ICZ a.s.