Re: nat - jak je to správne

Mon, 11 Aug 2008 01:40:29 -0700 

Josef Hrabec napsal/wrote, On 08/11/08 10:02:
>> dal jsem zkousel si taky hrat s firewallem (IPFW) ale bud jsem blbej ja
>> , nebo firewall, ale uz jsem z toho divokej. Pravidla se ctou od zhora
>> dolu, pokud pravidlo vyhovi, tak dále nepokracuje a je zpracovane.

Ne u vsech pravidel. Treba u divertu to platit nemusi.

>> Nicmene to funguje asi nejak jinak. Uvedu priklad . Otevrel jsem port 53
>> obema smery,udp i IP  pres vsechny rozhrani a za nej dal pravidlo
>> blokujici zbytek komunikace obema smery  pres venkovni rozhrani.Tak
>> nejak jsem predpokladal, ze by pakety meli prochazet

Moc obecny pojem. Jake pakety ? Opravdu mely "ten spravny" zdrojovy i 
cilovy port (pole toho, jak mas ta pravidla udelana) ? Bylo pravidlo 
zakazujici provoz pres vnejsi rozhrani napsane opravdu spravne ? 
(Zejmena u 'recv' a 'via' je treba davat pozor a pamatovat, ze paket 
prochazi firewallem dvakrat a tyhle tagy se budou vyhodnocovat i pri 
druhem pruchodu).

>> Mohl by se nekdo obetovat a pomoct mi s tim a hlavne vysvetlit , kde
>> delam chybu? Veskere konfigy bych vam poslal, pripadne povolil pristup
>> na server.
> 
> 
> Nevim jestli se ti bude nekdo hlasit na tvuj server a nastavovat ti
> pravidla pro firewall. Mozna ano, v pripade ze by mel zajem mit na ten
> server pristup i nekdy pozdeji....   :-)

No, nebyl by to prvni server/router nekoho z tehle konference, na ktery 
bych vlozil spinave, lec presto superuzivatelskym opravnenim vybavene, 
pracky. Jestli "dat je" je nebo neni bezpecnostne rozumne/prijatelne je 
uvaha, kterou musi provest ten, kdo ta prava dava. Na druhe strane je 
treba provest spis uvahu, zda je rozumne je prijmout (co kdyz se vam 
neco nepovede a zpusobite skodu ?).

Nicmene, ja tentokrat urcite ne. Ted se mi to nehodi. A navic, ladit na 
dalku firewall je vzdycky ponekud komplikovane.

> Obecne, kdyz neco takoveho ladim a potrebuji nalezt chybu, tak pouzivam
> tcpdump, abych videl jestli pakety opravdu chodi tam kde potrebuji. A taky
> je dobre se divat na countery jednotlivych pravidel kde clovek ziska
> informaci, zda-li pres dane pravidlo vubec nejake pakety prochazeji.

Presne a pak je taky dobry pomocnik "allow all from any to any", ktery 
posouvas niz a niz, az "to zacne fungovat". Tehdy jsi nasel pravidlo, 
ktere komunikaci blokuje. Pak uz nebyva az takovy problem zjistit proc ...

                                                Dan


-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem