Firewall
Jiri Calda
calda at dzungle.ms.mff.cuni.cz
Wed Feb 18 16:05:17 CET 2004
Večeřa Antonín wrote:
> Je mozne na stroji s firewallem+NAT (ipf+ipnat) nejak odchytit-zakazat pakety adresovane primo do privatni site?
> Podle toho, co jsem o tom cetl, tak NAT se pro prichozi komunikaci provadi jeste pred firewallem,
> takze ten podle mne nepozna, co je prelozeno NATem (a tudiz predpokladejme legitimni)
> a neprelozene NATem (a tudiz pokusem o prunik).
Ne, to neni pravda. Do natu to vlaze, kdyz vy reknete ipfw, ze to tam ma
vlest. A pred tim muzete klidne filtrovat falesne adresy na venkovnim
interface, protoze tam opravdu nemaji co delat v obouch smerech...
staci neco podobneho:
10 unreach filter-prohyb ip from falsesna to any in recv interfaceven
20 unreach filter-prohyb ip from any to falesna in recv interfaceven
--- V teto chvili jsou packety jdouci z venku do lokalni site stare
jeste smerovane na venkovni ip routeru
A proto az ted:
30 divert 8668 ip from any to ipvenkovni in recv interfaceven
40 divert 8668 ip from falesna to any out xmit intervaceven
A mate to ci chcete.
Jirka
More information about the Users-l
mailing list