[fli4l] statisches Forward vs. dynamischer NAT-Eintrag
Christoph Schulz
fli4l at kristov.de
Fr Aug 19 15:22:23 CEST 2016
Hallo!
Am Thu, 18 Aug 2016 11:41:53 +0200 schrieb Erwin Lottermann:
> Danke für die gründliche Erklärung.
>
> Ich halte für mich fest, dass ein statisch konfiguriertes Forward
> (Conntrack) vor einem dynamisch entstandenen NAT-Eintrag (DST_NAT)
> greift.
Hier bringst du etwas durcheinander, oder ich verstehe dich nicht
richtig. Das Conntrack-System abstrahiert einzelne Pakete zu Flows. Flows
wiederum können in der Firewall speziell behandelt werden, so etwa wenn
Paket zu einem Flow vom LAN durch den fli4l ins WAN geht, dann findet
auch das Antwortpaket zum selben Flow den Weg zurück vom WAN durch den
fli4l ins LAN (Stichwort Conntrack-Zustand "ESTABLISHED"). Conntrack ist
somit komplett dynamisch und nicht statisch, du kannst Conntrack gar
nicht "statisch" konfigurieren. (Du kannst allerdings zur Laufzeit die
Conntrack-Tabelle mit Hilfe des "conntrack"-Programms manipulieren.)
Eine statisch konfigurierte Forward-Regel (korrekter: DNAT-Regel,
"DST_NAT") hingegen hat mit Conntrack erst einmal absolut gar nichts zu
tun. Es ist einfach eine Regel in einer der vielen Tabellen des
Paketfilters (Tabelle "nat", Kette "PREROUTING"), wobei die Tabellen
unterschiedliche Prioritäten haben (siehe letzten Post von mir). Dieses
"statische" NAT, also NAT mit Hilfe einer vorkonfigurierten Regel, findet
aber nur für Pakete statt, die dem Conntrack-System unbekannt sind
(Conntrack-Zustand "NEW"). Wenn ein Flow erst einmal ESTABLISHED ist,
dann werden die NAT-Regeln nicht mehr angeschaut.
Ich nehme also an, dass du sagen wolltest:
Ich halte für mich fest, dass ein dynamisch entstandener NAT-Eintrag
(Conntrack) vor einem statisch konfigurierten Forward (DST_NAT) greift.
Hierzu vielleicht noch die Anmerkung, dass DNAT und SNAT nicht für
"dynamisch" und "statisch", sondern für "destination" (= Ziel) und
"source" (= Quelle) steht, was evtl. die Ursache für die Verwirrung
gewesen sein könnte. Ich kann mich gut erinnern, dass ich in meiner
Anfangszeit das häufig durcheinander gebracht habe...
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L