7 Spezielle Protokolle

Manche Protokolle werden nicht gern geNATted. Für jedes dieser Protokolle müssen zwei Erweiterungen geschrieben werden; eine für das Connection-Tracking des Protokolls, und eine für das eigentliche NAT.

In der netfilter-Distribution gibt es zur Zeit Module für FTP: ip_conntrack_ftp.o und ip_nat_ftp.o. Wenn Du diese Module mit insmod in den Kernel lädst (oder sie permanent hineinkompilierst), sollte NAT auf FTP-Verbindungen funktionieren. Wenn Du das nicht tust, kannst Du nur passives FTP verwenden, und sogar das könnte nicht zuverlässig funktionieren, wenn Du mehr als einfaches Source-NAT machst.

8 Einsprüche gegen NAT

Wenn Du NAT auf einer Verbindung machst, müssen alle Pakete in beide Richtungen (in und aus dem Netzwerk) durch den NAT-Rechner, sonst wird es nicht zuverlässig funktionieren. Im Besonderen heißt das, dass der connection tracking Code Fragmente wieder zusammensetzt, was bedeutet, dass Deine Verbindung nicht nur unzuverlässig sein wird, sondern könnten Pakete sogar überhaupt nicht durchkommen, da Fragmente zurückgehalten werden.