maskarada
|KSDIADZ|
ksiadz w churchofsatan.prv.pl
Śro, 4 Wrz 2002, 17:19:54 CEST
To moze daj na liste ta gotowa dzialajaca regolke :)
On Wed, 4 Sep 2002, Mariusz Bartkiewicz wrote:
>
> Dzieki juz dziala tak jak powinno a to ze robie to na jedna karte sieciowa to wymog klienta :>
>
>
> On Wed, Sep 04, 2002 at 01:42:02PM +0200, artis w linux.bielsko.pl wrote:
> > czesc
> > gotowego przepisu Ci nie dam ;)
> > ale powiem tak jezeli robisz masakrade albo NAT'a to zawsze
> > jest lepiej jak w Twoim Linux'owym routerki sa przynajmniej 2 karty.
> >
> > tak jak masz teraz.. w przypadku jednej .. sprawa wyglada tak, ze
> > musisz postawic wszystkie dotychczasowe klasy "maskaradowe"
> > czyli np 192.168.x.x/16 albo 10.x.x.x/8 takich sie chyba najczesciej uzywa
> > na tej jednej jedynej eth0 .. potem tylko wystarczy juz zmienic
> > ipchains forward zeby dzialalo na eth0 tylko
> > poza tym jezeli masz jakies inne regulki dla fw skierowane do eth1 to
> > oczywiscie tez musisz je usunac/przerobic dla potrzeb eth0
> > i w zasadzie to wszystko
> >
> > PS.
> > Zamiast pisac regulke reject'ujaca pakiety z src ip z twojej sieci pojawiajace sie na eth0 (czyli zabronic spoofingu) moze zrobic tak:
> >
> > echo wartosc >/proc/sys/net/ipv4/conf/all/rp_filter
> >
> > gdzie wartosc przyjmuje: 2 silna weryfikacja
> > 1 slabsza weryfikacja
> > 0 brak odrzucania (spoofowanych pakietow)
> >
> > wiecej ciekawych informacji na ten temat RFC 1812
> > oczywiscie sa takie sytuacje w ktorych nie mozesz tak zrobic bo przestanie ci twoja siec dzialac, ale zakladajac ze routing na swiat z twojej eth0 jest symetryczny bedzie dzialac
> >
> > PS. Nie polecam robienia tego na 1 sieciowce .. bo wtedy przy luznej polityce
> > firewall sprytniejsi userzy bedamieli w zasadzie dostep do klas "latajacych" na twoim eth0 i moja "przypisac sobie" jakies zewnetrzne ipki.. o ile beda forwardniete. poza tym na hubie w ogole moga Cie ogladac z kazdej strony.
> > dodam ze prosty swicz tez Ciebie nie zabezpieczy.
> >
> > Generalnie nie nalezy dla niezaufanych sieci/podsieci robic takich numerow
> > p[ozdrawiam
> > ---------------
> > "Unix jest prosty i logiczny, ale dostrzec i zobaczyc jego prostote moze tylko geniusz (a przynajmniej programista)" - Dennis M. Ritchie
> > ---------------
> > artis w linux.bielsko.pl
> > registered Linux User no 207289
> > ICQ 112709838
> >
> > ________________________
> > http://lists.pld.org.pl/
> >
>
> --
> Pozdrawiam Mariusz
>
> GCS d- s: a-- C++>++++ UBLS++>++++ P++@ L+++>+++++ E-(++)
> W++ N++ o K? w---(++) O(+) M@ V? PS+(++) PE+ Y PGP++ t@ 5?
> X++@ R+ D+@ G++ e+>++++ r++ y+ | http://www.mud.art.pl
>
>
> ________________________
> http://lists.pld.org.pl/
>
>
> ----------------------------------------------------------------------
> Zaufaj swojej intuicji... >>> http://link.interia.pl/f1646
>
>
>
Więcej informacji o liście dyskusyjnej pld-users-pl