ip_conntrack a odpovedi na UDP broadcast

Honza Houstek houstek-lists na utf.mff.cuni.cz
Středa Říjen 15 16:36:37 CEST 2003


Zdravim.

Narazil jsem na potiz s firewallem. Jisty protokol (v tomto pripade samba,
ale stejne to bude platit pro cokoliv jineho, co pouziva udp broadcasty)
se chova tak, ze na broadcast (vyslany z pocitace za firewallem) odpovi
udp paketem ze sve IP adresy a s prohozenymi source a destination porty,
napr.

1. src=A, dst=broadcast, sport=44444, dport=137
2. src=B, dst=A, sport=137, dport=44444

Bohuzel tyto dva ip_conntrack nevede jako navazane spojeni. Na A je pritom
firewall, ktery povoli jen prichozi ESTABLISHED nebo RELATED pakety. Aby
fungovala ta samba prisernost, tak budu muset bud otevrit vysoke UDP
porty (coz se mi nechce) nebo hrabnout do samby a vynutit pouzivani
nejakeho konkretniho portu (coz se mi chce jeste min).

Kdyby existovala nejaka moznost, jak to naucit conntrack (a nejlepe
takova, aby to nesezralo tolik zaznamu, z kolika adres muze potencialne
prijit odpoved), resilo by to cely problem. Nevite o tom neco?

-- Honza Houstek


Další informace o konferenci Linux