[LUGOS] -j DNAT

Miroslav Jurkas miroslav.jurkas at ensico.si
Wed Nov 19 11:27:13 CET 2003 

Andrej Lajovic wrote:

>Živjo!
>
>Zdej, ko se je ravno že začela razprava o DNAT in port forwardingu, naj še
>jaz dodam svoj lonček, ker me ena zadeva matra že nekaj časa. Primer je
>hipotetičen.
>
>Na nekem firewallu naredimo DNAT tako, da se vsem paketom, ki pridejo na
>port 2000, prepiše destination na neko mašino v lokalni mreži. Istočasno
>se postavi pravilo, da se vsem paketom, ki pridejo s te iste mašine/porta
>2000, prepiše source na naslov od firewalla. To bi sedaj moralo delovati
>tako, kot bi se port 2000 interne mašine "prikazal" na portu 2000 od
>firewalla. To jaz razumem kot port forwarding.
>
>Zdaj pa: nenadoma se nek lynx na firewallu odloči, da se bo povezal na
>www.bla.com, odpre (naključni) port 2000 in poskuša vzpostaviti povezavo.
>
>Se to dejansko lahko zgodi? Kolikor jaz vem, nič ne preprečuje programom,
>da se ne bi bindali na port 2000, za skrivnostno poslanstvo tega porta v
>iptables pa seveda ne vedo. Bi bilo potemtakem potrebno vsak port, ki se
>ga forwarda z iptables, bindati z nekim programom le zato, da bi bil
>zaseden?
>  
>
Ne vem, da bi na FW računalniku lahko to reč kako (lepo) pohandlal. Po
mojem itak na takšnem računalniku (FW/GW) uporabniki nimajo kaj iskati
in poganjati kdove kakšnih programov (npr. Lynx)...
Imam pa kvečjemu idejo za 'work around': Vedno lahko narediš (npr. z
xinetd) en dummy servis, ki drži omenjen port odprt, dela pa nič. Če je
FW prav narejen itak ne prileti nanj noben paket, ker letijo na mašino v
lokalnem LAN-u. Kernel pa na port, ki je listening na nekem adapterju
itak NE dovoli še enega bind-a!
Za odhodne povezave (outgoing) praviloma binda socket na network
interface skozi katerega gre promet ven. Za listening socket pa lahko
načeloma izbiraš (če program to podpira) ali se binda na nek vmesnik ali
na 0.0.0.0 kar pomeni na vse ali na nek določen IP, če jih imaš na
adapterju več...

>Lep pozdrav,
>Andrej
>
>  
>

Lep pozdrav
  Miroslav

-------------------------------------------------
** ENSICO d.o.o. www.ensico.si                 **
** miroslav.jurkas at ensico.si                   **
** project manager & unix system administrator **
-------------------------------------------------

More information about the lugos-list mailing list