firewall a HTTP
Michal Kubecek
mike na mk-sys.cz
Čtvrtek Srpen 5 11:17:02 CEST 2004
On Thu, Aug 05, 2004 at 07:53:24AM +0200, Chlopcik Ales wrote:
> Michal Kubecek wrote:
> >
> > Proč ne? To, co dělá ten šílený chaos, jsou UDP broadcasty na portech
> > 137 a 138, ty se ven ze segmentu stejně nedostanou. TCP komunikace na
> > portu 139 nevzniká "sama od sebe", pro tu už platí stejná pravidla jako
> > pro jakýkoli jiný provoz.
>
> Pokud NATujete jen _nektere_ porty (coz je IMHO totez, ale nevim jak na
> to), pak TO jste uz nenapsal. Pokud vsechny, pak se i UDP vesele siri
> siti dal a mozna by se na ne mohlo i navazat otevreni spojeni
> _jakoby_zevnitr_ (ale tady si jist nejsem /nonGURU/). No a v ramcim
> _moja_paranoia_, pokud si nejsem jist, tak radsi resim.
Chcete mi tvrdit, že klasický NAT "všeho" přenatuje _broadcasty_ vnitřní
sítě na... na co vlastně? Na broadcasty nejbližšího segmentu vnější
sítě? Tak ničeho takového jsem si zatím nevšiml a ani v dokumentaci jsem
na takovou featuru nenarazil. Pouze Samba něco takového umí dělat, pokud
se to zapne, ale že by to netfilter dělal sám od sebe, tomu nevěřím.
Jinak v tom, jak NATovat jen některé porty, nevidím naprosto žádný
problém. I pravidla v tabulce nat, kterými se NAT provádí, mohou
používat podmínky '-p', '--sport' a '--dport'.
Michal Kubeček
Další informace o konferenci Linux