[linux] FW, nat a ine veci

Peter Surda shurdeek na panorama.sth.ac.at
Pondělí Únor 11 11:02:44 CET 2002


On Mon, Feb 11, 2002 at 09:45:51AM +0100, Eva Mala wrote:
> Ahojte.
cau

> Majme 2 siete,obe majuce NAT a default deny firewall (na FW stroji)
> PC11 a 12 tvoria lan 1, pricom pc11 ma verejnu adresu (cize sa nan nat nevztahuje)
jasne

> a pc12 lokalnu.
> PC21 a 22 tvoria lan 2, pricom obe maju lokalnu adresu.
> 
> PC11----------\                                /PC21
>                +---FW1------INET----FW2-------+
> PC12----------/                                \PC22
jasne.

> Ide mi o zalezitost, ze co musi byt na firewalle povolene, ked:
> a) chcem sa zo siete 2 pripojit na server aplikaciu na pc11, ktora pocuva na porte 22.
> - musi byt na fw1 povolene vsetko iduce na port 22 na pc11
nie celkom, staci ked bude povolene vsetko iduce na port 22 na pc11 z ip adresy fw2

> - na fw2 musi byt povolene vsetko iduce na port 22 a iduce z lan 2
nie celkom, staci na port 22 z lan2 do ip pc11.

> - OTAZKA1: co musi byt povolene ako vstup do lan2 na fw2? Ved po pripojeni
> sa pc11 sa na pc11 na nejakom porte (ten neviem - potrebujem ho vediet?)
> otvori konekcia smerom k pc2* na port z ktoreho to na pc2* vystartovalo. Ako
> na to?
podla toho ci je firewall stateful alebo stateless, bud established alebo bez
syn flagu. Slangovo sa tomu hovori "odchadzajuci tcp traffic".

> b) chcem sa pripojit zo stroja pc12 na port 22 na pc 22. Na fw2 mi bezi nat
> forwarding vsetkeho co ide na port22 smerom na pc22 a port 22.  Otazka: Musi
> byt aj nejaky spetny forwarding? Potom ako ho spravit? A Ako na fw pravidla?
Netreba, staci ked funguje maskarada smerom von (teda pokial fw2 bezi pod
linuxom 2.2 alebo 2.4)

> Dalsie otazky:

> Mozu si dvaja ludia, obaja zaNATovani a s lokalnymi ipckami spravit medzi
> sebou aktivnu konekciu? (bez moznosti nastavovania nejakmeho forwardingu na
> natovacich branach).
Bez portforwardingu alebo podpory protokolu na rutri (napr. IRC) nie, ale mozu
pouzit teoreticky nejaky "proxy" ktory je niekde "vonku". V praxi som to
skusal (uspesne) s FTP, v pripade ze druha strana nebezi na porte 21 a nevie
passive a nechcelo sa mi hrat z modulmi na rutri, dal som jftpgw na comp s
oficialnou ip adresou a nastavil, aby smerom von menil vsetko na aktiv a potom
to uz slo.

> Ak je jeden s verejnou IP a ten fruhy neni uplne zafirewallovany, tak by v
> tom nemal byt problem?Ze?
Pokial tam nie su nejake dodatocne obmedzenia, malo by to ist.
 
> Dakujem za odpovede, ak sa niekto smeje na vyrazoch, ktore som pouzila,
> prosim opravte ma, nech nevyzeram hlupo. Radsej sukromne.
Otazky su logicky sformulovane a poskytuju dostatok informacii. V pohode.

> Ewa
S pozdravom,

Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023

--
              The best things in life are free, but the
                expensive ones are still worth a look.
------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-signature
Velikost: 232 bytes
Popis: [žádný popis není k dispozici]
Url : http://lists.linux.sk/pipermail/linux/attachments/20020211/9b6096c4/attachment.bin 


Další informace o konferenci linux