Re: Natd med flere eksterne IP adresser

From: Michael Rasmussen (none@michael.r--grafisk.dk.lh.bsd-dk.dk)
Date: Fri 23 Feb 2001 - 00:54:04 CET

Next message: Jacob Nielsen: "Hackerangreb?"
Previous message: Lasse Hillerøe Petersen: "Re: Ny BSD'er"
In reply to: Flemming Jacobsen: "Re: Natd med flere eksterne IP adresser"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Fri, 23 Feb 2001 00:54:04 +0100
From: Michael Rasmussen <none@michael.r--grafisk.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Natd med flere eksterne IP adresser

Flemming Jacobsen wrote:
>
> Et for lavt tal gør at nogen kan stoppe logningen med
> decoy-pakker før det egentlige angreb, mens et for højt tal
> fylder din disk op. Hvad det rigtige tal er afhænger meget af din
> situation.
> Du har sikret dig at /var er "stor nok" på din FW, ikke?

Ok, jo jeg har foreløbig 100 MB ledig plads "/var", så det skulle være nok.

Men det er nu svært at parationere disken, når man installere et nyt
system. Derfor fik jeg da også afsat for lidt plads til "/usr" (ports,
src o.s.v.), hvilket jeg måtte løse med et par symbolske links.

> Husk også at cleare pakke countere indimellem, således at du ikke
> står i den situation at din FW har været oppe i et par mdr. og
> alle log regler er holdt op med at logge fordi antallet af logs er
> overskredet.

Du siger noget, det var en af ting jeg ikke havde strejfet en tanke.

> Det er _kun_ to-adresse/to-port natd piller i, så:
> ipfw add allow tcp from any to <intern-ip> 80
> er den rigtige.
> Hvorfo det ikke virker for dig er et godt spørgsmål.

Jeg opgraderede systemet i henhold til nyeste CVS update (make world),
og i samme forbindelse satte jeg logamount op. Da jeg derefter indsatte
ovenstående regel, virkede det hele perfekt :o)

Jeg siger derfor mange tak for hjælpen, og de gode forslag.

> Nej.
> Det virker ikke. Du er nødt til at køre med speciel DNS på
> indersiden, eller at give den et "inderside navn".

Det havde jeg også forventet, men jeg ville lige være helt sikker.

> Som jeg har forstået det, så laver du alle dine "deny RFC1918 og
> lignende" regler. Derefter en 'checkstate'. Og så laver du
> 'keep-state' på alle dine allow regler.
> Dette er ihvertfald udgangspunktet. Specielle behov vil
> selvfølgelig kræve at det gøres på en anden måde.
> Jeg mener iøvrigt at det er en voldsom dårlig ide at have
> 'check-state' og 'keep-state' på hver sin side af natd, idet det
> så ikke er de samme pakker de ser. Dvs. det virker ikke.

Ok, jeg vil gå det efter i sømmene, når det bliver weekend.

> > Måske en dårlig vejledning jeg valgte at starte ud med, det var denne
> > jeg fulgte: <http://www.bsdtoday.com/2000/December/Features359.html>
>
> Den kender jeg ikke (og jeg her ikke lige tid til at læse den).

Det er helt i orden. Det var faktisk svært at finde god dokumentation om
netop dette emne, og endnu sværere var det at bedømme hvad "god" er.

Desværre har jeg selv gang i alt for mange projekter i øjeblikket, men
ellers ville jeg da gerne skrive en dansk vejledning til "Opsætning af
ipfw/nat på FreeBSD".

-- 
Med venlig hilsen
 Michael Rasmussen <none@michael.r--grafisk.dk.lh.bsd-dk.dk>

Next message: Jacob Nielsen: "Hackerangreb?"
Previous message: Lasse Hillerøe Petersen: "Re: Ny BSD'er"
In reply to: Flemming Jacobsen: "Re: Natd med flere eksterne IP adresser"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:05 CET