Hallo,
verwende ein redhat 9 OS;
dieses läuft auf einer gatewayfirewall die meinem privaten lan, mittels masquarading und AON_ADSL den internetzugang ermöglicht;
bin dabei meine firewall zu installieren, folgende frage habe ich:
ausgangskonfiguration: gateway besitzt 2 netzwerkinterfaces, eins zum internen lan, eins zum adsl modem, und das ppp0 interface;
ich schicke von einem der privaten rechner eine anfrage an den name server meines ISP:
welche absender _IP habe ich nun in der FORWARD Chain des IP_Headers stehen, schon die masquarierte oder immer noch die private aus dem lan?
wenn der name server antwortet, welche IP_destinationsadresse steht dann im Header wenn das paket die FORWARD Chain in die andere richtung durchläuft,
bereits die demasquierte private IP oder noch die öffentlich dynamische IP;
was passiert eigentlich genau in der POSTROUTING Chain, wird bei dem paket dort schon adressĂĽbersetzung durchgefĂĽhrt oder wird es nur fĂĽr eine bevorstehende ĂĽbersetzung vorgemerkt (frage bezieht sich auf ein paket vom internen lan in das internet, den umgekehrten weg wĂĽrde ich auch gerne verstehen)
und erst kurz vor versand adressĂĽbersetzung durchgefĂĽhrt?
mfg
Gery
IPTABLES:Welche IP-Adresse in welchen Chains?s
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at
4 Beiträge
• Seite 1 von 1
RE: IPTABLES:Welche IP-Adresse in welchen Chains?s
von [KB]Flipper » Mi 21 Mai, 2003 18:00
du hast in der forward-chain noch die private IP-Adresse drinnen, falls du bei der NAT-Table diesen Befehl da mit "postrouting" gemacht hast. (postrouting = Paket wird erst nach der Routing-Entscheidung "maskiert")
die IP-Destination des ISP müsste dann die deiner "öffentlichen" IP-Adresse sein.
Ich geb dir keine Garantie auf diese Angaben, ich bin auch nicht grade der masquerading & IPTables-Guru
mfg
[KB]Flipper
die IP-Destination des ISP müsste dann die deiner "öffentlichen" IP-Adresse sein.
Ich geb dir keine Garantie auf diese Angaben, ich bin auch nicht grade der masquerading & IPTables-Guru
mfg
[KB]Flipper
- [KB]Flipper
RE: IPTABLES:Welche IP-Adresse in welchen Chains?s
von 7online » Do 22 Mai, 2003 02:22
HI
Wie soll der Router wenn er von 15 Host eine DNS Anfrage bekommt nach der Antwort des ISP-DNS wissen von wo welches Paket kommt und hingehört.
Er ist nicht Intelligent also wird er einfach die Absendeadresse im Lan hinzufĂĽgen und damit kann er die ankommenden Pakete zuordnen.
Ich bin auch kein Pro aber kann mir nicht vorstellen wie sonst das gehen soll.
Wie soll der Router wenn er von 15 Host eine DNS Anfrage bekommt nach der Antwort des ISP-DNS wissen von wo welches Paket kommt und hingehört.
Er ist nicht Intelligent also wird er einfach die Absendeadresse im Lan hinzufĂĽgen und damit kann er die ankommenden Pakete zuordnen.
Ich bin auch kein Pro aber kann mir nicht vorstellen wie sonst das gehen soll.
- 7online
RE: IPTABLES:Welche IP-Adresse in welchen Chains?s
von Gery » Mi 28 Mai, 2003 00:08
hmm,
ich glaube flipper hat recht wenn er meint das pakete die vom privaten lan
stammen, und fĂĽr das internet bestimmt sind, in der forward chain des gateways immer noch die lan-ip im header hat;
ankommende pakete aus dem internet die fĂĽr das private lan bestimmt sind, und nun ebenfalls die forward chain der filter tabelle durchlaufen haben meiner meinung nach, aber doch schon die demaskierte ip des betreffenden lan host im header.
es erscheint mir sinnvoller wenn die demaskierung ebenfalls schon vor eintritt in die forward chain stattfindet.
gery
ich glaube flipper hat recht wenn er meint das pakete die vom privaten lan
stammen, und fĂĽr das internet bestimmt sind, in der forward chain des gateways immer noch die lan-ip im header hat;
ankommende pakete aus dem internet die fĂĽr das private lan bestimmt sind, und nun ebenfalls die forward chain der filter tabelle durchlaufen haben meiner meinung nach, aber doch schon die demaskierte ip des betreffenden lan host im header.
es erscheint mir sinnvoller wenn die demaskierung ebenfalls schon vor eintritt in die forward chain stattfindet.
gery
- Gery
4 Beiträge
• Seite 1 von 1
ZurĂĽck zu ANTIVIRUS & SECURITY
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 23 Gäste