maskarada

Mariusz Bartkiewicz mariusz w arkadia.art.pl
Śro, 4 Wrz 2002, 16:11:10 CEST 

Dzieki juz dziala tak jak powinno a to ze robie to na jedna karte sieciowa to wymog klienta :>


On Wed, Sep 04, 2002 at 01:42:02PM +0200, artis w linux.bielsko.pl wrote:
> czesc
> gotowego przepisu Ci nie dam ;)
> ale powiem tak jezeli robisz masakrade albo NAT'a to zawsze
> jest lepiej jak w Twoim Linux'owym routerki sa przynajmniej 2 karty.
> 
> tak jak masz teraz.. w przypadku jednej .. sprawa wyglada tak, ze 
> musisz postawic wszystkie dotychczasowe klasy "maskaradowe"
> czyli np 192.168.x.x/16 albo 10.x.x.x/8 takich sie chyba najczesciej uzywa
> na tej jednej jedynej eth0 .. potem tylko wystarczy juz zmienic
> ipchains forward zeby dzialalo na eth0 tylko
> poza tym jezeli masz jakies inne regulki dla fw skierowane do eth1 to 
> oczywiscie tez musisz je usunac/przerobic dla potrzeb eth0
> i w zasadzie to wszystko 
> 
> PS.
> Zamiast pisac regulke reject'ujaca pakiety z src ip z twojej sieci pojawiajace sie na eth0 (czyli zabronic spoofingu) moze zrobic tak:
> 
> echo wartosc >/proc/sys/net/ipv4/conf/all/rp_filter
> 
> gdzie wartosc przyjmuje: 2 silna weryfikacja
> 			 1 slabsza weryfikacja
> 			 0 brak odrzucania (spoofowanych pakietow)
> 			 
> wiecej ciekawych informacji na ten temat RFC 1812
> oczywiscie sa takie sytuacje w ktorych nie mozesz tak zrobic bo przestanie ci twoja siec dzialac, ale zakladajac ze routing na swiat z twojej eth0 jest symetryczny bedzie dzialac
> 
> PS. Nie polecam robienia tego na 1 sieciowce .. bo wtedy przy luznej polityce
> firewall sprytniejsi userzy bedamieli w zasadzie dostep do klas "latajacych" na twoim eth0 i moja "przypisac sobie" jakies zewnetrzne ipki.. o ile beda forwardniete. poza tym na hubie w ogole moga Cie ogladac z kazdej strony.
> dodam ze prosty swicz tez Ciebie nie zabezpieczy.
> 
> Generalnie nie nalezy dla niezaufanych sieci/podsieci robic takich numerow
> p[ozdrawiam
> ---------------
> "Unix jest prosty i logiczny, ale dostrzec i zobaczyc jego prostote moze tylko geniusz (a przynajmniej programista)" - Dennis M. Ritchie
> ---------------
> artis w linux.bielsko.pl
> registered Linux User no 207289
> ICQ 112709838
> 
> ________________________
> http://lists.pld.org.pl/
> 

-- 
Pozdrawiam Mariusz

GCS d- s: a-- C++>++++ UBLS++>++++ P++@ L+++>+++++ E-(++)
W++ N++ o K? w---(++) O(+) M@ V? PS+(++) PE+ Y PGP++ t@ 5?
X++@ R+ D+@ G++ e+>++++ r++ y+ | http://www.mud.art.pl

Więcej informacji o liście dyskusyjnej pld-users-pl