Firewall
Večeřa Antonín
antonin.vecera at jme.cz
Thu Feb 19 07:06:37 CET 2004
> > Je mozne na stroji s firewallem+NAT (ipf+ipnat) nejak
> odchytit-zakazat pakety adresovane primo do privatni site?
> > Podle toho, co jsem o tom cetl, tak NAT se pro prichozi
> komunikaci provadi jeste pred firewallem,
> > takze ten podle mne nepozna, co je prelozeno NATem (a tudiz
> predpokladejme legitimni)
> > a neprelozene NATem (a tudiz pokusem o prunik).
>
> Ne, to neni pravda. Do natu to vlaze, kdyz vy reknete ipfw,
> ze to tam ma
> vlest. A pred tim muzete klidne filtrovat falesne adresy na
> venkovnim
> interface, protoze tam opravdu nemaji co delat v obouch smerech...
>
> staci neco podobneho:
>
> 10 unreach filter-prohyb ip from falsesna to any in recv interfaceven
> 20 unreach filter-prohyb ip from any to falesna in recv interfaceven
>
> --- V teto chvili jsou packety jdouci z venku do lokalni site stare
> jeste smerovane na venkovni ip routeru
> A proto az ted:
>
> 30 divert 8668 ip from any to ipvenkovni in recv interfaceven
> 40 divert 8668 ip from falesna to any out xmit intervaceven
No, ja se ale ptal, jak to udelat pri pouziti ipf+ipnat!
Lze to same i s nim?
Antonin V.
More information about the Users-l
mailing list