From: Flemming Jacobsen <none@fj--batmule.dk.lh.bsd-dk.dk> Subject: Re: Natd med flere eksterne IP adresser To: bsd-dk@bsd-dk.dk Date: Thu, 22 Feb 2001 07:48:48 +0100 (CET)
Michael Rasmussen wrote:
> Flemming Jacobsen wrote:
> > Jeg vil mene at 'logamount 100' er lidt i underkanten.
>
> Ok, det stammer oprindelig fra en "firewall vejledning", men jeg har
> faktisk overvejet at hæve det - hvad ville være en fornuftigt værdi?
Jeg plejer at bruge 4-500, men det afhænger reelt af om du har
brug for at få logget alle pakker, eller det er nok at vide at
der "skete dette og sikkert noget mere". I det sidste tilfælde så
er 50 nok.
Et for lavt tal gør at nogen kan stoppe logningen med
decoy-pakker før det egentlige angreb, mens et for højt tal
fylder din disk op. Hvad det rigtige tal er afhænger meget af din
situation.
Du har sikret dig at /var er "stor nok" på din FW, ikke?
Husk også at cleare pakke countere indimellem, således at du ikke
står i den situation at din FW har været oppe i et par mdr. og
alle log regler er holdt op med at logge fordi antallet af logs er
overskredet.
> > > 02100 divert 8668 ip from any to any via vr0
> >
> > Her har natd ændret pakken så to-adressen er det _interne_
> > IPnummer. Jeg ser ikke umiddelbart at du tillader den rettede
> > pakke at passere nedenunder.
>
> Det har du ret i, men hvordan skal reglen se ud?
>
> Jeg har forsøgt med følgende:
>
> ipfw add allow tcp from any to <ekstern-ip2> 80
> ipfw add allow tcp from any to <intern-ip> 80
>
> (har desuden også prøvet, hvor "divert" stod i mellem de to) og derefter:
>
> ipfw add allow tcp from <ekstern-ip2> to <intern-ip> 80
Det er _kun_ to-adresse/to-port natd piller i, så:
ipfw add allow tcp from any to <intern-ip> 80
er den rigtige.
Hvorfo det ikke virker for dig er et godt spørgsmål.
Jeg plejer at debugge ved at sørge for at alle regler
logger, plus jeg laver en 'deny log ip from any to any'
i bunden.
Herefter er det som regel ikke så svært at se hvor man har lavet
en fejl (hvis der vel at mærke ikke kører så meget anden traffik
end ens test).
> Kan man
> forresten tilgå en natd'ed (ekstern) adresse, fra indersiden af ens lan?
Nej.
Det virker ikke. Du er nødt til at køre med speciel DNS på
indersiden, eller at give den et "inderside navn".
> > > 02700 check-state
> >
> > Hvorfor har du check-state her når du bruger established
> > ovenover? Fordelen ved check-state er netop at du ikke stoler på
> > noget i en indkommende pakke.
>
> Det er fordi begge dele var slået til i den vejledning jeg fulgte, og
> derfor troede jeg faktisk at de begge var nødvendige.
Som jeg har forstået det, så laver du alle dine "deny RFC1918 og
lignende" regler. Derefter en 'checkstate'. Og så laver du
'keep-state' på alle dine allow regler.
Dette er ihvertfald udgangspunktet. Specielle behov vil
selvfølgelig kræve at det gøres på en anden måde.
Jeg mener iøvrigt at det er en voldsom dårlig ide at have
'check-state' og 'keep-state' på hver sin side af natd, idet det
så ikke er de samme pakker de ser. Dvs. det virker ikke.
En:
deny log tcp from any to any established
efter din 'check-state' vil logge pakker med established bit, som
ikke er i den dynamiske liste - enten fordi reglerne har en fejl,
eller fordi nogle prober din firewall med 'established' pakker.
> Måske en dårlig vejledning jeg valgte at starte ud med, det var denne
> jeg fulgte: <http://www.bsdtoday.com/2000/December/Features359.html>
Den kender jeg ikke (og jeg her ikke lige tid til at læse den).
FJ
-- Flemming Jacobsen Email: fj@batmule.dk ---=== If speed kills, Windows users may live forever. ===---
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:05 CET