Cviceni7

Connection tracking

Chain

Address L.

NAT

LAB

Action

I Accept - Pˇrijme paket, neproch´az´ı d´ale FW
I Add-dst-to-address-list - Pˇrid´a do address-listu, pˇrejde na dalˇs´ı pravidlo
I Add-src-to-address-list - Pˇrid´a do address-listu, pˇrejde na dalˇs´ı pravidlo
I Drop - Zahod´ı paket bez odezvy, neproch´az´ı d´ale FW
I Jump - Pˇrejde na uˇzivatelem definovan´y chain, pokraˇcuje tam, pokud ale projde

skrz, vr´

at´ı se na dalˇ

s´ı pravidlo v hlavn´ım chainu

I Log - Uloˇz´ı log a n´asleduj´ıc´ımi info: in-interface, out-interface, src-mac,

protocol, src-ip:port-¿dst-ip:port, d´

elka paketu. Pak pˇ

rejde na dalˇ

s´ı pravidlo.

I Passthrough - Jen pˇrepoˇsle na dalˇs´ı pravidlo, statistiky.
I Reject - Zahod´ı paket s ICMP odezvou, neproch´az´ı d´ale FW
I Return - Vr´at´ı zpˇet, do p˚

uvodn´ıho chainu a pokraˇ

cuje.

I Tarpit - Zachyt´ı a pozdrˇz´ı TCP spojen´ı, odpov´ı SYN/ACK na pˇr´ıchoz´ı TCP

SYN paket. Neproch´

az´ı d´

ale do FW

Hardware poˇ

c´ıtaˇ

cov´

ych s´ıt´ı

Princip

Packet flow

Connection tracking

Chain

Address L.

NAT

LAB

Action

Hardware poˇ

c´ıtaˇ

cov´

ych s´ıt´ı

Princip

Packet flow

Connection tracking

Chain

Address L.

NAT

LAB

Address list

I

Skupiny IP adres

I

Pro zjednoduˇsen´ı pravidel

I

Dynamick´

e

I

Administr´

atoˇri, ´

utoˇ

cn´ıci, ...

I

Filtrov´

an´ı, Mangle, NAT

I

Vytvoˇr´ı se automaticky s prvn´ım z´

aznamem

Hardware poˇ

c´ıtaˇ

cov´

ych s´ıt´ı

Princip

Packet flow

Connection tracking

Chain

Address L.

NAT

LAB

Address list

Hardware poˇ

c´ıtaˇ

cov´

ych s´ıt´ı

Princip

Packet flow

Connection tracking

Chain

Address L.

NAT

LAB

Source NAT

I

NAT = Network Address Translation

I

Umoˇ

zˇ

nuje vyuˇ

z´ıvat jednu sadu adres na stranˇ

e LAN, druhou

sadu adres na stran´

e vnˇ

ejˇs´ı s´ıtˇ

e

I

Source NAT pˇrekl´

ad´

a zdrojovou adresu paketu, priv´

atn´ı

adresu na veˇrejnou.

I

Chain src-nat, 13 moˇ

zn´

ych akc´ı

I

Masquerade - zmˇ

en´ı zdrojovou IP adresu paketu na adresu