[LUGOS] -j DNAT
Andrej Lajovic
andrej.lajovic at guest.arnes.si
Tue Nov 18 21:08:41 CET 2003
Živjo!
Zdej, ko se je ravno že začela razprava o DNAT in port forwardingu, naj še
jaz dodam svoj lonček, ker me ena zadeva matra že nekaj časa. Primer je
hipotetičen.
Na nekem firewallu naredimo DNAT tako, da se vsem paketom, ki pridejo na
port 2000, prepiše destination na neko mašino v lokalni mreži. Istočasno
se postavi pravilo, da se vsem paketom, ki pridejo s te iste mašine/porta
2000, prepiše source na naslov od firewalla. To bi sedaj moralo delovati
tako, kot bi se port 2000 interne mašine "prikazal" na portu 2000 od
firewalla. To jaz razumem kot port forwarding.
Zdaj pa: nenadoma se nek lynx na firewallu odloči, da se bo povezal na
www.bla.com, odpre (naključni) port 2000 in poskuša vzpostaviti povezavo.
Se to dejansko lahko zgodi? Kolikor jaz vem, nič ne preprečuje programom,
da se ne bi bindali na port 2000, za skrivnostno poslanstvo tega porta v
iptables pa seveda ne vedo. Bi bilo potemtakem potrebno vsak port, ki se
ga forwarda z iptables, bindati z nekim programom le zato, da bi bil
zaseden?
Lep pozdrav,
Andrej
More information about the lugos-list
mailing list