Re: ipchains

[Alexey Vyskubov <alexey@pepper.spb.ru>]

> > в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
> >
> > как я понимаю, если маскарад настроен так:
> > ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
> >
> > то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> > то смогу увидеть 192.168.0.* и всю локальную подсетку.
> 
>          Помоему не так. Ни один уважающий себя маршрутизатор не будет
> маршрутизировать пакеты для запрещенных адресов, а именно таковые
> стоят у тебя в сетке.

Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
192.168.x.x не "запрещенные", а "приватные".

> > тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> > мне надо прописать маскарад следующим образом:
> > ipchains -P forward DENY
> > ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> > eth0 -j MASQ
> >
> > мои рассуждения верны?
> 
>        Как и и сказал не совсем.

Рассуждения верны.

>        На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
> а только определенным машинам и на определенные порты, а лучше всего
> вообще избегать использования макскарада и пользоваться различными прокси,
> с авторизацией доступа, начиная от squid и заканчивая socks5.

Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?

-- 
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!