Re: ipchains

To: "debian-russian" <debian-russian@lists.debian.org>
Subject: Re: ipchains
From: "Victor Vislobokov" <victor@tvmaxima.perm.ru>
Date: Fri, 16 Feb 2001 09:21:45 +0500
Message-id: <[🔎] 004101c097cf$f8cbbca0$580aa8c0@tvmaxima.perm.ru>
References: <[🔎] 3A8BD0B3.20801@rasko.ru>

> в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
>
> как я понимаю, если маскарад настроен так:
> ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
>
> то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> то смогу увидеть 192.168.0.* и всю локальную подсетку.

         Помоему не так. Ни один уважающий себя маршрутизатор не будет
маршрутизировать пакеты для запрещенных адресов, а именно таковые
стоят у тебя в сетке.

> тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> мне надо прописать маскарад следующим образом:
> ipchains -P forward DENY
> ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> eth0 -j MASQ
>
> мои рассуждения верны?

       Как и и сказал не совсем. Хотя в целях паранои второй вариант более
предпочтителен чем первый.
       Зато второй вариант (как и первый впрочем) спокойно дает возможность
троянским вирусам рассылать твои данные из машин внутренней сети по
просторам Интернет.
       На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
а только определенным машинам и на определенные порты, а лучше всего
вообще избегать использования макскарада и пользоваться различными прокси,
с авторизацией доступа, начиная от squid и заканчивая socks5.

Виктор

Reply to:

Follow-Ups:
- Re: ipchains
  - From: Alexey Vyskubov <alexey@pepper.spb.ru>

References:
- ipchains
  - From: "Dmitry V. Glushenok" <glush@rasko.ru>

Prev by Date: Re: unstable
Next by Date: Re[2]: Q: russification of opera
Previous by thread: ipchains
Next by thread: Re: ipchains
Index(es):
- Date
- Thread