Date: Wed, 28 May 2003 11:01:35 +0200 From: Robert Martin-Legène <none@robert+bsd-dk--martin-legene.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Natd/router vil ik´'
On Tue, May 27, 2003 at 11:16:44PM +0200, Morten Kjaer Nielsen wrote:
> Nogen der har råd til hvad det kan være der forhindre den i at få svar?
Jeg synes din opsætning ser generelt pæn ud. Men når du har problemer,
bør du overveje at eliminere alle options, hvis det er muligt. Det gør
det også nemmere for andre, at sætte sig ind i dit problem. Det er desuden
muligt at køre natd uden en natd.conf, men så får du selvf ikke dine
redirects med.
Rækkefølgen af dine firewallregler skal du nok overveje. Du bør nok
overveje konsekvenserne af check-state og tcp established før du har
lavet NAT. Du forventer nok noget helt andet, men pakkens src/dst er
ikke nødvendigvis omskrevet endnu, og vil ikke matche, medmindre pakken
kom direkte fra firewallen selv. Derfor tror jeg ikke at du vil kunne
fuldføre et TCP-handshake fra indersiden, da:
win -> verden: SYN regel 200,300,9000,50100? (ellers 50400)
verden -> win: SYN+ACK regel 200,300,400
(du når aldrig at natte igen, og din firewall kender ikke til en
session din windows har sat op, og vil levere RST til "verden". Du
har noget lignende samme problem med udp "keep-state").
Din regel 9100 overskygger f.eks. også regel 50300,55500,55600, og din
regel 50400 overskygger alle de efterfølgende regler. (Du var måske
midt i at debugge, og glemte at rydde op?).
Men så vidt jeg kan se, burde du faktisk kunne pinge alle steder rundt.
Prøv at ryd op i dit regelsæt og se om dit problem forsvinder.
Typisk starter man med noget á la.
100 permit ip from any to any via lo0
200 deny ip from 127.0.0.0/8 to any
210 deny ip from any to 127.0.0.0/8
300 deny ip from 172.16.0.0/16 to any via vr0 (og andet privat adresserum)
500 divert blabla via vr0
1000 dine egne regler.
> ipfw
> 00100 check-state
> 00200 count ip from any to any via dc0
> 00300 count ip from any to any via vr0
> 00400 allow tcp from any to any established
> 09000 divert 8668 ip from any to any via vr0
> 09100 allow icmp from any to any
> 30000 allow tcp from any to me 25,80,110 setup
> 50100 allow tcp from me to any setup
> 50200 allow udp from me to any keep-state
> 50300 allow icmp from me to any
> 50400 allow ip from me to any
> 55000 allow tcp from 192.168.1.0/24 to any setup
> 55100 allow udp from 192.168.1.0/24 to any keep-state
> 55300 allow tcp from 172.16.0.0/24 to any setup
> 55400 allow udp from 172.16.0.0/24 to any keep-state
> 55500 allow icmp from 172.16.0.0/24 to any
> 55600 allow icmp from 172.16.0.0/24 to any
> 55700 allow ip from 172.16.0.0/24 to any
> 55800 allow ip from 192.168.1.0/24 to any
> 60000 deny log logamount 100 ip from any to any
> 65535 allow ip from any to any
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET