FW a masq
Petr Novotny
Petr.Novotny na antek.cz
Středa Listopad 10 11:49:47 CET 1999
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 10 Nov 99, at 11:42, Tomas Potok wrote:
> Tomuto sa neda vyhnut?
> Ide mi prave o to, povolit len pristup na verejnu IP obmedzeny na niektore
> porty.
V tom pripade bych udelal to, ze
1. na vnejsim rozhrani, s dest=vnejsi adresa povolim prijem
_vsech_ paketu na vyjmenovane porty
2. tamtez povolim na vsechny porty jen "nasledne" pakety (tj.
tusim pakety, ktere maji nastaveny ACK) - takze tam nikdo
nemuze spojeni iniciovat, ale muze odpovidat.
Rikam to spravne?
> Mam tomu rozumiet tak, ze na forward nestaci len:
>
> ipchains -A forward -s 10.1.1.0/24 -j MASQ
>
> treba aj nieco dalsie?
No, nejaky default policy, nejlepe reject s logovanim.
To logovani nepodcenujte, krome odhalovani nekterych utyoku vam
hlavne pomuze odhalit, proc neco nefunguje. Uz jsem se parkrat
nachytal pri otevirani dalsich podsiti, a umelych statickych rout, ze
mi firewall neco odmital.
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBOClb8VMwP8g7qbw/EQJlbwCghv1gfHxrcLiDRKTwUnkP/j249vwAoLIZ
y8dqaKQnjqBiXmu92LiAzTqo
=xWsY
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux