From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Mon 20 Jan 2003 - 16:43:26 EET
IP-tables ile NAT uğrattığınız makina her hangi bir IP ile bağlantıyı
başlattığını düşünürsek, uygulama o session için bundan sonraki
bağlantılarıda aynı IP adresinden bekleyecektir. Eğer IP tables her paket
çıktığında (reply paketleri) farklı bir IP adresine NAT ediyor ise uygulama
o IP'den bir cevap beklemediği için bağlantı doğal olarak kopuyor olabilir.
Çoğu statefull firewall bunu garanti eder. IP tables yapar mı bilmiyorum ama
anlamanın en güzel yolu tcpdump ile kontrol edilebilir. Problem bundan
kaynaklanıyor olabilir. Olmayabilir de :)
Netice olarak 1 IP adresi arkasına ilk 10000 portu ayırdığımızı düşünürsek
55535 IP adresi saklamak mümkün. Eğer aynı anda bağlanan bu kadar çok
client' iniz yok ise tek IP adresine NAT etmek daha esnek bir çözüm
olacaktır. Neyse Ipv6 gelecek torunlarımıza eskiden biz NAT yapardık diye
anlatacaz :)
-----Original Message-----
From: linux-network-bounce@linux.org.tr
[mailto:linux-network-bounce@linux.org.tr]On Behalf Of Gürkan KARABATAK
Sent: Monday, January 20, 2003 2:32 PM
To: linux-network; linux-ileri
Subject: [linux-network] iptables ve SSL
Selam
Firewall da nat yaparken ip havuzu kullanıyoruz yani tek ip ye değilde
birçok ip ye nat yaptırıyoruz. Yalnız bu bazı problemler çıkarıyor. Örneğin
telewebe bağlanıldığında login olurken veya olduktan sonra kullanıcıyı
dışarı atıyor. Tek ip ye nat yapınca böyle bir sorun yok. Sanırım bağlantı
sırasında farklı iplerle bağlantı yapınca güvenlik sebebi ile kullanıcıyı
dışarı atıyor. Sizce böyle birşey mantıklımı?