maskarada

artis@linux.bielsko.pl artis w linux.bielsko.pl
Śro, 4 Wrz 2002, 13:42:02 CEST


czesc
gotowego przepisu Ci nie dam ;)
ale powiem tak jezeli robisz masakrade albo NAT'a to zawsze
jest lepiej jak w Twoim Linux'owym routerki sa przynajmniej 2 karty.

tak jak masz teraz.. w przypadku jednej .. sprawa wyglada tak, ze 
musisz postawic wszystkie dotychczasowe klasy "maskaradowe"
czyli np 192.168.x.x/16 albo 10.x.x.x/8 takich sie chyba najczesciej uzywa
na tej jednej jedynej eth0 .. potem tylko wystarczy juz zmienic
ipchains forward zeby dzialalo na eth0 tylko
poza tym jezeli masz jakies inne regulki dla fw skierowane do eth1 to 
oczywiscie tez musisz je usunac/przerobic dla potrzeb eth0
i w zasadzie to wszystko 

PS.
Zamiast pisac regulke reject'ujaca pakiety z src ip z twojej sieci pojawiajace sie na eth0 (czyli zabronic spoofingu) moze zrobic tak:

echo wartosc >/proc/sys/net/ipv4/conf/all/rp_filter

gdzie wartosc przyjmuje: 2 silna weryfikacja
			 1 slabsza weryfikacja
			 0 brak odrzucania (spoofowanych pakietow)
			 
wiecej ciekawych informacji na ten temat RFC 1812
oczywiscie sa takie sytuacje w ktorych nie mozesz tak zrobic bo przestanie ci twoja siec dzialac, ale zakladajac ze routing na swiat z twojej eth0 jest symetryczny bedzie dzialac

PS. Nie polecam robienia tego na 1 sieciowce .. bo wtedy przy luznej polityce
firewall sprytniejsi userzy bedamieli w zasadzie dostep do klas "latajacych" na twoim eth0 i moja "przypisac sobie" jakies zewnetrzne ipki.. o ile beda forwardniete. poza tym na hubie w ogole moga Cie ogladac z kazdej strony.
dodam ze prosty swicz tez Ciebie nie zabezpieczy.

Generalnie nie nalezy dla niezaufanych sieci/podsieci robic takich numerow
p[ozdrawiam
---------------
"Unix jest prosty i logiczny, ale dostrzec i zobaczyc jego prostote moze tylko geniusz (a przynajmniej programista)" - Dennis M. Ritchie
---------------
artis w linux.bielsko.pl
registered Linux User no 207289
ICQ 112709838



Więcej informacji o liście dyskusyjnej pld-users-pl