[ip/ipchains] NAT pro cilovou adresu?

[Leos Bitto]

Pavel Janik ml. (Pavel.Janik na inet.cz) wrote:
: První problém je ten, že z firewall, která dělá NAT se nedopingnu na veřejnou
: adresu překládanou na lokální IP. Konkrétní příkazy teď nemohu ukázat, je to
: _technicky_ nerealizovatelné (ach ta bezpečnost) :-) Celkem to ale dokážu
: pochopit.

To je zrejme a pochopitelne. Vadi to? Rekl bych ze ne, protoze takovyto
firewall nema sam o sobe co komunikovat, at uz s kymkoliv. Ach ta bezpecnost.
:-)

: No a druhý problém je poměrně jednoduchý a zřejmý. Pokud se lokální stroj,
: který má překlanou adresu, pokusí o FTP ven, a pak např. o ls něco, otevře
: vzdálenému FTP serveru port u sebe:
: 
: PORT local.ip,nějaké číslo
: 
: No a samozřejmě protože local.ip je privátní adresa, tak veřejný FTP server
: udělá, co udělat má a nic nám nepřenese. Modul ip_masq_ftp tady samozřejmě nic
: nezmůže, jde o úplně jinou situaci.

Pravda, u NAT zadny takovy modul neni, a diky tomu ze NAT funguje na vrstve
IP, ne na TCP jako IP masquerading, tak ten modul ani neni mozne jednoduse
napsat. Reseni vidim v tom pro pristup ven na tcp port 21 zapnout IP masq.
a pouzit prislusny modul.


Leos Bitto