[linux-l] Re: [linux-l] Re: [linux-l] SuSE-Firewall2, IP-Tables, Masquerading, wie geht es wie=?ISO-8859-1?B?ZGVyIHp1cvxjayBpbnMgTEFOPw=

Schlomo Schapiro belug at schlomo.schapiro.org
Mo Jul 14 11:20:46 CEST 2003 

Hello Peter,

das Problem ist nicht, daß der firewall das ohne SNAT nicht cached, sondern
daß der webserver die Pakete sonst versucht, an den browser im LAN direkt
zurückzuschicken. Der erkennt sie aber nicht als Antwort auf seine
Requests, da sie ja nicht von der gleichen IP kommen, an die der Request
ging. Das SNAT sorgt dafür, daß der webserver seine Antwort auch an den
firewall zurückschickt und nicht an den browser direkt. Hat bei mir mit
HTTPS nie ohne das SNAT funktioniert, vielleicht hast Du es nicht mit TCP
probiert ?

Schlomo

PS: Das Problem hatte mich auch ne weile an der Nase rumgeführt, bis ich
mir nochmal das iptables-HowTo richtig durchgelesen hatte, da stand dann
was dazu drin.

Monday, July 14, 2003, 10:40:41 AM, you wrote:

> Hi,

> On Mon, 14 Jul 2003, Schlomo Schapiro wrote:

>> ja, ich hab auch sowas am laufen, mit einer dynamischen IP am external IF.
>> Ich musste dann auch ein DNAT für Pakete aus dem LAN zum Webserver
>> aufsetzen, kombiniert mit einem SNAT auf das gleiche, damit die Pakete den
>> gleichen Weg zum Browser zurückgehen (infos aus dem iptables-HowTo).

>> in POSTROUTING:
>> target     prot opt source               destination
>> SNAT       tcp  --  192.168.0.0/16       <webserver>           tcp dpt:https to:<webserver>

> Da die Verbindung von den LAN-Computern aufgebaut wird, sollte das SNAT
> ueberfluessig sein, da der Firewall die Verbindungen ohnehin cachen
> muss. Wie soll er sonst wissen, an welchen der "maskierten" Rechner er
> das Paket an die externe Adresse geschickte Paket zurueck schicken soll?

> Daher wird das zurueckgeschickte Paket automatisch "zurueckmaskiert".

> Zumindest habe ich etliche Verbindungen ohne explizites SNAT fuer den
> "Rueckweg" umgeleitet und es hat bis jetzt immer funktioniert.

> Es gruesst
> Peter

> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> https://mlists.in-berlin.de/mailman/listinfo/linux-l


-- 
Best regards,
 Schlomo

Mehr Informationen über die Mailingliste linux-l