Date: Wed, 21 Feb 2001 17:00:26 +0100 From: Michael Rasmussen <none@michael.r--grafisk.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Natd med flere eksterne IP adresser
Flemming Jacobsen wrote:
>
> Jeg vil mene at 'logamount 100' er lidt i underkanten.
Ok, det stammer oprindelig fra en "firewall vejledning", men jeg har
faktisk overvejet at hæve det - hvad ville være en fornuftigt værdi?
> > 02100 divert 8668 ip from any to any via vr0
>
> Her har natd ændret pakken så to-adressen er det _interne_
> IPnummer. Jeg ser ikke umiddelbart at du tillader den rettede
> pakke at passere nedenunder.
Det har du ret i, men hvordan skal reglen se ud?
Jeg har forsøgt med følgende:
ipfw add allow tcp from any to <ekstern-ip2> 80
ipfw add allow tcp from any to <intern-ip> 80
(har desuden også prøvet, hvor "divert" stod i mellem de to) og derefter:
ipfw add allow tcp from <ekstern-ip2> to <intern-ip> 80
Men det ser ikke rigtig ud - det vil i hvert fald ikke virke. Kan man
forresten tilgå en natd'ed (ekstern) adresse, fra indersiden af ens lan?
> > 02700 check-state
>
> Hvorfor har du check-state her når du bruger established
> ovenover? Fordelen ved check-state er netop at du ikke stoler på
> noget i en indkommende pakke.
Det er fordi begge dele var slået til i den vejledning jeg fulgte, og
derfor troede jeg faktisk at de begge var nødvendige.
Måske en dårlig vejledning jeg valgte at starte ud med, det var denne
jeg fulgte: <http://www.bsdtoday.com/2000/December/Features359.html>
-- Med venlig hilsen Michael Rasmussen <none@michael.r--grafisk.dk.lh.bsd-dk.dk>
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:05 CET