sslug-teknik team mailing list archive

["Kristian F. Høgh" <kfh@xxxxxxxxx>]

"Henrik Størner" wrote:

> >Hvad er det der går galt? Er det connection-tracking?
> >Kan man slå conn.-track fra?
>
> Sagtens, lad blot være med at enable connection tracking i kernen.
>
> Men det er ikke det, der er problemet. Så vidt jeg kan se, er det
> grundlæggende problem at du forsøger at lave routing uden at ville
> definere routes på de forskellige hosts. Så prøver du i stedet at
> tvinge trafikken omkring firewall'en for at den skal gøre noget
> "magisk" så det virker. Men det gør det altså ikke.
>
> >Ved routning hvor input-IF=output-IF bør den ikke være statefull.
>
> En router vil normalt reagere på sådan en pakke med en ICMP
> redirect. Hvis en pakke skal routes ud på det samme interface som den
> ankom på, så er der nemlig ingen grund til at route den overhovedet -
> så kan afsenderen af pakken lige så godt kontakte modtageren direkte,
> uden at involvere routeren.

Når jeg ping'er (eller laver en ssh eller endet) fra min klient til serveren
sender firewall'en ikke icmp redirect. (Og router heller ikke)
Hvis pakken er en "ny" pakke (eks. icmp request) genererer firewall'en en
icmp redirect *samt* router pakken videre. Dvs. router pakken. (som den skal)

>
>
> Det er det, som en "ICMP redirect" bruges til. Og det er jeg ret
> sikker på, at din firewall også genererer - ellers er det en fejl (men
> jeg har set en linux 2.2.x router reagere på præcis den måde, så jeg
> ved at det har virket).
>
> "ICMP redirect" er simpelt hen routerens måde at lave en midlertidig
> routing entry hos afsenderen.
>

Korrekt. Jeg tror der er en fejl i 2.4.x
Det virker på mig som om at firewall'en "holder øje" med alt på lokalnettet.
Statefull inspection gør selvfølgelig det at den holder øje med trafikken,
det må det også gerne. Den skal "bare" tillade al intern traffik.
Opgaven *bør* være en rimelig simpel routnings-opgave.

Kristian Høgh.