Firewall

Jiri Calda calda at dzungle.ms.mff.cuni.cz
Wed Feb 18 16:05:17 CET 2004


Večeřa Antonín wrote:


> Je mozne na stroji s firewallem+NAT (ipf+ipnat) nejak odchytit-zakazat pakety adresovane primo do privatni site?
> Podle toho, co jsem o tom cetl, tak NAT se pro prichozi komunikaci provadi jeste pred firewallem,
> takze ten podle mne nepozna, co je prelozeno NATem (a tudiz predpokladejme legitimni)
> a neprelozene NATem (a tudiz pokusem o prunik).

Ne, to neni pravda. Do natu to vlaze, kdyz vy reknete ipfw, ze to tam ma 
  vlest. A pred tim muzete klidne filtrovat falesne adresy na venkovnim 
interface, protoze tam opravdu nemaji co delat v obouch smerech...

staci neco podobneho:

10 unreach filter-prohyb ip from falsesna to any in recv interfaceven
20 unreach filter-prohyb ip from any to falesna in recv interfaceven

--- V teto chvili jsou packety jdouci z venku do lokalni site stare 
jeste smerovane na venkovni ip routeru
A proto az ted:

30 divert 8668 ip from any to ipvenkovni in recv interfaceven
40 divert 8668 ip from falesna to any out xmit intervaceven

A mate to ci chcete.

Jirka





More information about the Users-l mailing list