maskarada
Mariusz Bartkiewicz
mariusz w arkadia.art.pl
Śro, 4 Wrz 2002, 19:50:52 CEST
On Wed, Sep 04, 2002 at 05:19:54PM +0200, |KSDIADZ| wrote:
>
> To moze daj na liste ta gotowa dzialajaca regolke :)
>
> Na liscie moze niebede tym zasmiecal bo pewnie wiekszosc czytajacych
liste wie jak to zrobic ale jesli ktos bedzie chcial to moge
wyslac mu bezposrednio
>
> On Wed, 4 Sep 2002, Mariusz Bartkiewicz wrote:
>
> >
> > Dzieki juz dziala tak jak powinno a to ze robie to na jedna karte sieciowa to wymog klienta :>
> >
> >
> > On Wed, Sep 04, 2002 at 01:42:02PM +0200, artis w linux.bielsko.pl wrote:
> > > czesc
> > > gotowego przepisu Ci nie dam ;)
> > > ale powiem tak jezeli robisz masakrade albo NAT'a to zawsze
> > > jest lepiej jak w Twoim Linux'owym routerki sa przynajmniej 2 karty.
> > >
> > > tak jak masz teraz.. w przypadku jednej .. sprawa wyglada tak, ze
> > > musisz postawic wszystkie dotychczasowe klasy "maskaradowe"
> > > czyli np 192.168.x.x/16 albo 10.x.x.x/8 takich sie chyba najczesciej uzywa
> > > na tej jednej jedynej eth0 .. potem tylko wystarczy juz zmienic
> > > ipchains forward zeby dzialalo na eth0 tylko
> > > poza tym jezeli masz jakies inne regulki dla fw skierowane do eth1 to
> > > oczywiscie tez musisz je usunac/przerobic dla potrzeb eth0
> > > i w zasadzie to wszystko
> > >
> > > PS.
> > > Zamiast pisac regulke reject'ujaca pakiety z src ip z twojej sieci pojawiajace sie na eth0 (czyli zabronic spoofingu) moze zrobic tak:
> > >
> > > echo wartosc >/proc/sys/net/ipv4/conf/all/rp_filter
> > >
> > > gdzie wartosc przyjmuje: 2 silna weryfikacja
> > > 1 slabsza weryfikacja
> > > 0 brak odrzucania (spoofowanych pakietow)
> > >
> > > wiecej ciekawych informacji na ten temat RFC 1812
> > > oczywiscie sa takie sytuacje w ktorych nie mozesz tak zrobic bo przestanie ci twoja siec dzialac, ale zakladajac ze routing na swiat z twojej eth0 jest symetryczny bedzie dzialac
> > >
> > > PS. Nie polecam robienia tego na 1 sieciowce .. bo wtedy przy luznej polityce
> > > firewall sprytniejsi userzy bedamieli w zasadzie dostep do klas "latajacych" na twoim eth0 i moja "przypisac sobie" jakies zewnetrzne ipki.. o ile beda forwardniete. poza tym na hubie w ogole moga Cie ogladac z kazdej strony.
> > > dodam ze prosty swicz tez Ciebie nie zabezpieczy.
> > >
> > > Generalnie nie nalezy dla niezaufanych sieci/podsieci robic takich numerow
> > > p[ozdrawiam
> > > ---------------
> > > "Unix jest prosty i logiczny, ale dostrzec i zobaczyc jego prostote moze tylko geniusz (a przynajmniej programista)" - Dennis M. Ritchie
> > > ---------------
> > > artis w linux.bielsko.pl
> > > registered Linux User no 207289
> > > ICQ 112709838
> > >
> > > ________________________
> > > http://lists.pld.org.pl/
> > >
> >
> > --
> > Pozdrawiam Mariusz
> >
> > GCS d- s: a-- C++>++++ UBLS++>++++ P++@ L+++>+++++ E-(++)
> > W++ N++ o K? w---(++) O(+) M@ V? PS+(++) PE+ Y PGP++ t@ 5?
> > X++@ R+ D+@ G++ e+>++++ r++ y+ | http://www.mud.art.pl
> >
> >
> > ________________________
> > http://lists.pld.org.pl/
> >
> >
> > ----------------------------------------------------------------------
> > Zaufaj swojej intuicji... >>> http://link.interia.pl/f1646
> >
> >
> >
>
>
> ________________________
> http://lists.pld.org.pl/
>
--
Pozdrawiam Mariusz
GCS d- s: a-- C++>++++ UBLS++>++++ P++@ L+++>+++++ E-(++)
W++ N++ o K? w---(++) O(+) M@ V? PS+(++) PE+ Y PGP++ t@ 5?
X++@ R+ D+@ G++ e+>++++ r++ y+ | http://www.mud.art.pl
Więcej informacji o liście dyskusyjnej pld-users-pl