From: Flemming Jacobsen <none@fj--batmule.dk.lh.bsd-dk.dk> Subject: Re: Natd med flere eksterne IP adresser To: bsd-dk@bsd-dk.dk Date: Wed, 21 Feb 2001 15:56:52 +0100 (CET)
Jeg tror at jeg ser problemet. Se nedenfor.
FJ
Michael Rasmussen wrote:
> Flemming Jacobsen wrote:
> > Er du sikker på at natd ser pakkerne til det aliasede IP. Din
> > ipfw regel skal være noget i stil med:
> > /sbin/ipfw add divert natd all from any to any via vr0
>
> Jeg har ovenstånde regel i mit firewall script, men jeg skal da ærligt
> indrømme, at jeg ikke ved om den står på det korrekte sted i filen (se
> ipfw output i bunden af denne mail).
>
> > Jeg har sat noget tilsvarende op for en ven og der bruger jeg
> > også aliaser på yderside interfacet og natd redirect. Det virker
> > fint.
>
> Ok, det er altid rart at vide, at det kan komme til at virke :o)
>
> > Jeg bruger dog:
> > redirect_port tcp <ip>:25 25
>
> Jeg har lige forsøgt med ovenstående også. Det virker desværre heller
> ikke hos mig, så det tyder nok mest på et firewall problem.
>
> Spørg endelig, hvis du mangler andet output.
>
>
> --
> Med venlig hilsen
> Michael Rasmussen <none@michael.r--grafisk.dk.lh.bsd-dk.dk>
>
>
> - - - -
> Her er de regler min firewall kører med (evt. forbedringer er velkomne):
Jeg vil mene at 'logamount 100' er lidt i underkanten.
> [root@server ~]# ipfw list
> 00100 allow ip from any to any via lo0
> 00200 deny log logamount 100 ip from any to 127.0.0.0/8
> 00300 deny log logamount 100 ip from 192.168.0.0/24 to any in recv vr0
> 00400 deny log logamount 100 ip from not 192.168.0.0/24 to any in recv vr1
> 00500 deny log logamount 100 ip from 192.168.0.0/16 to any in recv vr0
> 00600 deny log logamount 100 ip from 172.16.0.0/12 to any in recv vr0
> 00700 deny log logamount 100 ip from 10.0.0.0/8 to any in recv vr0
> 00800 deny log logamount 100 ip from any to 192.168.0.0/16 in recv vr0
> 00900 deny log logamount 100 ip from any to 172.16.0.0/12 in recv vr0
> 01000 deny log logamount 100 ip from any to 10.0.0.0/8 in recv vr0
> 01100 deny ip from 0.0.0.0/8 to any in recv vr0
> 01200 deny ip from 169.254.0.0/16 to any in recv vr0
> 01300 deny ip from 192.0.2.0/24 to any in recv vr0
> 01400 deny ip from 224.0.0.0/4 to any in recv vr0
> 01500 deny ip from 240.0.0.0/4 to any in recv vr0
> 01600 deny ip from any to 0.0.0.0/8 in recv vr0
> 01700 deny ip from any to 169.254.0.0/16 in recv vr0
> 01800 deny ip from any to 192.0.2.0/24 in recv vr0
> 01900 deny ip from any to 224.0.0.0/4 in recv vr0
> 02000 deny ip from any to 240.0.0.0/4 in recv vr0
> 02100 divert 8668 ip from any to any via vr0
Her har natd ændret pakken så to-adressen er det _interne_
IPnummer. Jeg ser ikke umiddelbart at du tillader den rettede
pakke at passere nedenunder.
> 02200 allow tcp from any to any established
> 02300 allow tcp from any to <server/firewall-ip> 20,21 setup
> 02400 allow tcp from any to <ekstern-ip2> 80
> 02500 allow icmp from any to any
> 02600 allow icmp from any to any icmptype 3,4,11,12
> 02700 check-state
Hvorfor har du check-state her når du bruger established
ovenover? Fordelen ved check-state er netop at du ikke stoler på
noget i en indkommende pakke.
> 02800 allow ip from <server/firewall-ip> to any keep-state out xmit vr0
> 02900 allow ip from 192.168.0.0/24 to any keep-state via vr1
> 65435 deny log logamount 100 ip from any to any
> 65535 deny ip from any to any
> - - - -
>
-- Flemming Jacobsen Email: fj@batmule.dk ---=== If speed kills, Windows users may live forever. ===---
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:05 CET