← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #32930

Re: Sv: Porte til MASQ

  Thread PreviousDate PreviousThread Next 
MONZ wrote:
> "Anders K. Pedersen" wrote:
> > > Gør det noget at bruge 61000-65095 som local port range også (i
> > > /proc/sys/net/ipv4/ip_local_port_range)?
> > > Det regner jeg ikke med, men vil gerne lige være helt sikker.
> >
> > NEJ! ipchains koden i 2.2 kerner regner med, at den har fuld råderet
> > over alle porte mellem 61000 og 65095 og undersøger ikke, om de skulle
> > være brugt af andre programmer på maskinen, så disse porte må *ikke*
> > være med i ip_local_port_range.
> 
> Øhh, så forstår jeg enten ikke hvorfor min firewall virker, eller ozze
> hvorfor jeg har problemer med visse udp-replies, så jeg må have en lidt
> for generel udp regel.
> 
> Ligesom mange andre (Størner i sit ipchains eksempel på sslug, Ziegler i
> Linux Firewall's...) sætter jeg portrange:
> 
> # Set local port range for listeners:
>     echo "56000 65096" >/proc/sys/net/ipv4/ip_local_port_range

OK, jeg citerer lige
http://netfilter.kernelnotes.org/unreliable-guides/NAT-HOWTO-4.html,
hvor der står noget om forskellen på NAT (og herunder masquerading) i
Linux 2.2 og 2.4 kerner:

You can now bind to ports 61000-65095 even if you're masquerading. The
masquerading code used to assume anything in this range was fair game,
so programs couldn't use it.

Jeg læser af ovenstående, at hvis portene 61000-65095 er med i
ip_local_port_range, kan det ske, at et klientprogram benytter en af
disse porte, samtidig med, at masqueradingkoden benytter den samme port
- dette forhindres ikke af kernen. Når (og her skriver jeg med vilje
ikke hvis, for sådan noget har det med at indtræffe på de mest uheldige
tidspunkter) dette sker, vil begge forbindelser i sandsynligvis blot
blive ødelagt, men i uheldige tilfælde kan der sikkert ske kedelige
sammenblandinger af ting og sager.

Sandsynligheden for at et sådant sammenfald indtræffer er naturligvis
afhængig af, hvor mange forbindelser, maskinen håndterer, og er sikkert
ikke særlig stor i langt de fleste tilfælde.

Mvh.
Anders K. Pedersen

References

  Thread PreviousDate PreviousThread Next