ip_conntrack a odpovedi na UDP broadcast

Dalibor Straka dast na panelnet.cz
Středa Říjen 15 17:29:46 CEST 2003


On Wed, Oct 15, 2003 at 04:36:37PM +0200, Honza Houstek wrote:
> Zdravim.
> 
> Narazil jsem na potiz s firewallem. Jisty protokol (v tomto pripade samba,
> ale stejne to bude platit pro cokoliv jineho, co pouziva udp broadcasty)
> se chova tak, ze na broadcast (vyslany z pocitace za firewallem) odpovi
> udp paketem ze sve IP adresy a s prohozenymi source a destination porty,
> napr.
> 
> 1. src=A, dst=broadcast, sport=44444, dport=137
> 2. src=B, dst=A, sport=137, dport=44444
> 
> Bohuzel tyto dva ip_conntrack nevede jako navazane spojeni. Na A je pritom
UDP spojeni nenavazuje. To vim, ze vis ;-). Na fw se udp da identifikovat 
jako "spojeno", kdyz proudi pakety, ale tak rozhodli programatori iptables.
Ale udp a jeste odpoved na broadcast uznat jako vytvoreni spojeni?
Rozhodli ze ne! (koukam do zdrojaku _core.c, ale moc moudry z toho nejsem)

> Kdyby existovala nejaka moznost, jak to naucit conntrack (a nejlepe
> takova, aby to nesezralo tolik zaznamu, z kolika adres muze potencialne
> prijit odpoved), resilo by to cely problem. Nevite o tom neco?

Je-li to windowsi stanice, tak po zapnuti broadcastuje. Fw detekuje 
(jak chces) spojeni mezi A a B. Na jak dlouho? Vzdyt to broadcastuje 
porad. Takze je tam trvala dirka. Proc neudelat takoveto pravidlo:
iptables -A neco -s A -d B -dport 137 -J sem
iptables -A neco -s B -d A -sport 137 -J sem
tim padem je povolena komunikace bez ohledu na pocatecni zdrojovy udp port. 

Cau,
-- Dalibor Straka


Další informace o konferenci Linux