форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter)
Изначальное сообщение		[ Отслеживать ]

"работа nat в pf"	+/–
Сообщение от gadzilkin (ok) on 22-Дек-10, 09:07
Начал разбираться в PF по мануалу на сайте openBsd.org. Насколько я понял, в случае если пакет должен натится, то PF сначала преобразует адресс, а потом уже передает его фильтру. А как же тогда фильтровать пакеты прищедшие из локалки на основе политик разграничения по ip, ведь, насколько я понял, фильтр увидит пакет с уже измененным айпишником, т.е. айпишником шлюза......а как мне тогда сначала решить можно ли этот пакет вообще пропускать,а потом уже натить? Или же пакет сначала проходит правила фильтра входящих пакетов, потом натится, а потом уже передается на фильтр исходящих пакетов?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "работа nat в pf"	+/–
Сообщение от reader (ok) on 22-Дек-10, 10:06
> Начал разбираться в PF по мануалу на сайте openBsd.org. Насколько я понял, > в случае если пакет должен натится, то PF сначала преобразует адресс, > а потом уже передает его фильтру. А как же тогда фильтровать > пакеты прищедшие из локалки на основе политик разграничения по ip, ведь, > насколько я понял, фильтр увидит пакет с уже измененным айпишником, т.е. > айпишником шлюза......а как мне тогда сначала решить можно ли этот пакет > вообще пропускать,а потом уже натить? Или же пакет сначала проходит правила > фильтра входящих пакетов, потом натится, а потом уже передается на фильтр > исходящих пакетов? на внутреннем (входящем) интерфейсе будут оригинальные ip
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "работа nat в pf"	+/–
	Сообщение от gadzilkin (ok) on 22-Дек-10, 10:13
	> на внутреннем (входящем) интерфейсе будут оригинальные ip т.е получается такая схема пакет ---> внутренний интерфейс (проверяются правила фильтрации для этого интерфейса) ---> NAT ---> внешний интерфейс (проверяются правила фильтрации для этого интерфейса) правильно я понимаю?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "работа nat в pf"	+1 +/–
	Сообщение от reader (ok) on 22-Дек-10, 11:17
	>> на внутреннем (входящем) интерфейсе будут оригинальные ip > т.е получается такая схема пакет ---> внутренний интерфейс (проверяются правила фильтрации > для этого интерфейса) ---> NAT ---> внешний интерфейс (проверяются правила фильтрации > для этого интерфейса) > правильно я понимаю? да. внутренний интерфейс фильтр > внешний интерфейс nat > внешний интерфейс фильтр
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "работа nat в pf"	+/–
	Сообщение от gadzilkin (ok) on 22-Дек-10, 11:27
	> да. > внутренний интерфейс фильтр > внешний интерфейс nat > внешний интерфейс фильтр Большое спасибо!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "работа nat в pf"	+/–
	Сообщение от Margulis (ok) on 11-Июн-15, 11:59
	> внутренний интерфейс фильтр > внешний интерфейс nat > внешний интерфейс фильтр Поганая ситуация, кстати. Я не пойму, это баг или фича, но это противоречит ВСЕМ мануалам. Абсолютно везде написано, что правила трансляции срабатывают до правил фильтрации. Мало того, есть специальная указивка для правил трансляции (необязательная) - pass - в этом случае пакет в блок фильтрации вообще не должен попадать! Но и это не работает. Вернее, работает только в отношении фильтрации на исходящем плече.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема