[fli4l] statisches Forward vs. dynamischer NAT-Eintrag

Christoph Schulz fli4l at kristov.de
Fr Aug 19 15:22:23 CEST 2016 

Hallo!

Am Thu, 18 Aug 2016 11:41:53 +0200 schrieb Erwin Lottermann:

> Danke für die gründliche Erklärung.
> 
> Ich halte für mich fest, dass ein statisch konfiguriertes Forward
> (Conntrack) vor einem dynamisch entstandenen NAT-Eintrag (DST_NAT)
> greift.

Hier bringst du etwas durcheinander, oder ich verstehe dich nicht 
richtig. Das Conntrack-System abstrahiert einzelne Pakete zu Flows. Flows 
wiederum können in der Firewall speziell behandelt werden, so etwa wenn 
Paket zu einem Flow vom LAN durch den fli4l ins WAN geht, dann findet 
auch das Antwortpaket zum selben Flow den Weg zurück vom WAN durch den 
fli4l ins LAN (Stichwort Conntrack-Zustand "ESTABLISHED"). Conntrack ist 
somit komplett dynamisch und nicht statisch, du kannst Conntrack gar 
nicht "statisch" konfigurieren. (Du kannst allerdings zur Laufzeit die 
Conntrack-Tabelle mit Hilfe des "conntrack"-Programms manipulieren.)

Eine statisch konfigurierte Forward-Regel (korrekter: DNAT-Regel, 
"DST_NAT") hingegen hat mit Conntrack erst einmal absolut gar nichts zu 
tun. Es ist einfach eine Regel in einer der vielen Tabellen des 
Paketfilters (Tabelle "nat", Kette "PREROUTING"), wobei die Tabellen 
unterschiedliche Prioritäten haben (siehe letzten Post von mir). Dieses 
"statische" NAT, also NAT mit Hilfe einer vorkonfigurierten Regel, findet 
aber nur für Pakete statt, die dem Conntrack-System unbekannt sind 
(Conntrack-Zustand "NEW"). Wenn ein Flow erst einmal ESTABLISHED ist, 
dann werden die NAT-Regeln nicht mehr angeschaut.

Ich nehme also an, dass du sagen wolltest:

  Ich halte für mich fest, dass ein dynamisch entstandener NAT-Eintrag
  (Conntrack) vor einem statisch konfigurierten Forward (DST_NAT) greift.

Hierzu vielleicht noch die Anmerkung, dass DNAT und SNAT nicht für 
"dynamisch" und "statisch", sondern für "destination" (= Ziel) und 
"source" (= Quelle) steht, was evtl. die Ursache für die Verwirrung 
gewesen sein könnte. Ich kann mich gut erinnern, dass ich in meiner 
Anfangszeit das häufig durcheinander gebracht habe...

  
Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4L