Mihaly Zachar <[EMAIL PROTECTED]> wrote:
> Kiss Gabor wrote:
[...]
>> A NAT router nem tartja nyilvan a kimeno csomag destination addresset,
>> ezert aztan nincs is mivel osszehasonlitania a bejovo csomag
>> source addresset.
>
> szerintem nyilvan tartja a csomag destination addresset...
> legalabbis a linux igen, cisco is tudtommal, talan olcso home router-ek
> implementacioja megengedi ezt az "aprosagot".
>
> bocs, nem olvastam el a linket amit irtal, nincs idom, de nezz bele a
> /proc/net/ip_conntrack tablaba...
Ha jól tippelek, ez arra kell, hogy a tűzfalban az ESTABLISHED és a
RELATED szabályok működjenek. Ha nincs semmi szűrés a NAT-oló gépen,
akkor ha véletlenül rátalálnak a nyitott portra, akkor bejöhet a csomag.
Ezért kellenek egy ilyen jellegű szabályok:
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! ppp0 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
Bye,NAR
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
