Redir i Bezpieczenstwo!!!

[Krzysztof Królikowski]

Dnia 06-01-2005, czw o godzinie 18:54 +0100, Grzegorz Szymanski
napisał(a):
> Ostatnio zastanawialem sie nad jedna rzecza. Na komputerze pelniacym role 
> bramki przekierowywuje wszystkie polaczenia przychodzace na port np 55555 
> do komputera w sieci lokalnej na port 22. Uzywam do tego programu redir.
> Czy uzywanie tego programu moze powodowac jakas luke w systemi i czy
> osoba z zewnatrz moze dowiedziec sie jakie komputery znajduja sie
> wewnatrz sieci kozystajac z tego otwartego portu??

Teoretycznie nie. W zasadzie na podstawie wysyłanych przez twoją bramkę
pakietów nie da się tego ustalić. NAT działa w ten sposób, że adres
źródłowy z nagłówka IP zostaje zastąpiony przez adres maszyny na której
działa NAT. Z zewnątrz widoczny jest tylko jeden adres ip, a połączenia
do i z komputerów stojących za natem realizowane są w oparciu o porty. W
Twowim konkretnym przypadku redir oczekuje na pakiet z ustawionym portem
docelowym 55555 i w chwili kiedy takowy otrzyma przerzuca go jak mu
kazano do maszyny o określonym adresie ip na port 22, tworzy się w ten
spośób kanał dla tego połączenia. I na tym sprawa się kończy, nie dzieje
się nic więcej.
Także nie wiem w jaki sposób ktoś mógłby coś takiego wykorzystać ;-)

P.S. Jeśli masz zainstalowany kernel >= 2.4.x z powodzeniem możesz
wykorzystać iptables do realizacji tego zadania.

iptables -A PREROUTING -t nat -p tcp --dport 55555 -j DNAT --to
adres.i.p.wew:22

-- 
Krzysztof Królikowski [krzysiek @ pkn . pl]
Systems & Network Administrator & PLD Linux developer
office: (022) 556 78 88 | nic-hdl: KK1853-RIPE
Polski Komitet Normalizacyjny