Re: ipchains
> > в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
> >
> > как я понимаю, если маскарад настроен так:
> > ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
> >
> > то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> > то смогу увидеть 192.168.0.* и всю локальную подсетку.
>
> Помоему не так. Ни один уважающий себя маршрутизатор не будет
> маршрутизировать пакеты для запрещенных адресов, а именно таковые
> стоят у тебя в сетке.
Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
192.168.x.x не "запрещенные", а "приватные".
> > тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> > мне надо прописать маскарад следующим образом:
> > ipchains -P forward DENY
> > ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> > eth0 -j MASQ
> >
> > мои рассуждения верны?
>
> Как и и сказал не совсем.
Рассуждения верны.
> На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
> а только определенным машинам и на определенные порты, а лучше всего
> вообще избегать использования макскарада и пользоваться различными прокси,
> с авторизацией доступа, начиная от squid и заканчивая socks5.
Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?
--
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
Reply to:
- Follow-Ups:
- Re: ipchains
- From: "Victor Vislobokov" <victor@tvmaxima.perm.ru>
- References:
- ipchains
- From: "Dmitry V. Glushenok" <glush@rasko.ru>
- Re: ipchains
- From: "Victor Vislobokov" <victor@tvmaxima.perm.ru>