Firewall

Večeřa Antonín antonin.vecera at jme.cz
Thu Feb 19 07:06:37 CET 2004


> > Je mozne na stroji s firewallem+NAT (ipf+ipnat) nejak 
> odchytit-zakazat pakety adresovane primo do privatni site?
> > Podle toho, co jsem o tom cetl, tak NAT se pro prichozi 
> komunikaci provadi jeste pred firewallem,
> > takze ten podle mne nepozna, co je prelozeno NATem (a tudiz 
> predpokladejme legitimni)
> > a neprelozene NATem (a tudiz pokusem o prunik).
> 
> Ne, to neni pravda. Do natu to vlaze, kdyz vy reknete ipfw, 
> ze to tam ma 
>   vlest. A pred tim muzete klidne filtrovat falesne adresy na 
> venkovnim 
> interface, protoze tam opravdu nemaji co delat v obouch smerech...
> 
> staci neco podobneho:
> 
> 10 unreach filter-prohyb ip from falsesna to any in recv interfaceven
> 20 unreach filter-prohyb ip from any to falesna in recv interfaceven
> 
> --- V teto chvili jsou packety jdouci z venku do lokalni site stare 
> jeste smerovane na venkovni ip routeru
> A proto az ted:
> 
> 30 divert 8668 ip from any to ipvenkovni in recv interfaceven
> 40 divert 8668 ip from falesna to any out xmit intervaceven

No, ja se ale ptal, jak to udelat pri pouziti ipf+ipnat!
Lze to same i s nim?

Antonin V.




More information about the Users-l mailing list