sslug-teknik team mailing list archive

["Anders K. Pedersen" <akp@xxxxxx>]

Peter Seidler wrote:
> Henrik Størner <henrik@xxxxxxxxxx> skrev i en
> nyhedsmeddelelse:9579hf$27p$1@xxxxxxxxxxxxxxxxx...
> > In <3A76FC23.5040307@xxxxxxxxxxxx> "Simon B. Nielsen" <simon@xxxxxxxxxxxx>
> writes:
> >
> > >Hvordan tvinger jeg Linux til kun at bruge en af mig specificeret port
> > >range til masqurading?
> >
> > Masquerading porte er hårdt-kodet i kernen, til at bruge området
> > 61000-65095. Hvis du vil ændre det, kræver det en ændring af
> > den include-fil i kernen hvor det er defineret, og så en rebuild af
> > kernen.
> 
> Så hvis f.eks. eth0 er forbundet til internettet vil alle pakker, der kommer
> ind på eth0 og som er tiltænkt en masqueraded maskine ligge i området
> 61000-65095?

Ja, under linux 2.2 kerner. Med en 2.4 kerne og netfilter, kan man selv
specificere, hvilke porte, der skal benyttes.

> Gør det noget at bruge 61000-65095 som local port range også (i
> /proc/sys/net/ipv4/ip_local_port_range)?
> Det regner jeg ikke med, men vil gerne lige være helt sikker.

NEJ! ipchains koden i 2.2 kerner regner med, at den har fuld råderet
over alle porte mellem 61000 og 65095 og undersøger ikke, om de skulle
være brugt af andre programmer på maskinen, så disse porte må *ikke*
være med i ip_local_port_range.

Mvh.
Anders K. Pedersen