PREROUTING vs INPUT&FORWARD v iptables
Michal Vymazal
gandalf na mbox.vol.cz
Úterý Prosinec 18 22:55:07 CET 2001
Miroslav Petricek wrote:
> On Tue, Dec 18, 2001 at 07:53:04PM +0100, Roskanuk Michal wrote:
>
>>>Je vhodne pouzivat NAT tabulku pro filtrovani paketu ?
>>>
>>Neni to vhodne a nedoporucuje se to s tim, ze za urcitych
>>okolnosti muze packet projit nepovsimnut, ackoli by se mel 'matchnout'.
>>Jinymi slovy, nat/PREROUTING a nat/POSTROUTING jsou urceny pro
>>DNAT, SNAT a maskaradu, nikoli k filtrovani.
>>
>>Doporucuji shlednout iptables tutorial od Oskara Adreassona:
>>http://www.BoingWorld.com/workshops/linux/iptables-tutorial/
>>Tam je vse podrobne vysvetleno vcetne packet-flow etc a jsou
>>tam i nejake examply.
>>
>>
>
> Ten tutorial samozrejme znam, ale prave tam autor pouziva filtrovani
> v nat tabulce, kdyz v retezci PREROUTING filtruje RFC1918 adresy.
>
> Zaver tohoto threadu by mohl znit:
>
> Filtrovat pakety v PREROUTINGu lze, ovsem musime mit na pameti, z
> NATem prochazi pouze paket, ktery navazuje spojeni. Pokud se chceme
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> timto branit pred IP spoofingem, tak je nutne jeste zariznout vsechny
> nezadouci non-ESTABLISHED a non-RELATED pakety pomoci stavoveho
> firewallu v retezcich INPUT a FORWARD. Dalsi reseni je definovat
> si vlastni chain a chytat na nem spoofovame pakety z INPUTu a FORWARDu.
>
> EOT
>
>
Zdravim
Nevim, jak ta veta byla myslena, ale to, co jsem podtrhl, je ponekud
zavadejici. NAT je Network Address Translation (doufam), takze jim
prochazeji vsechny pakety. Nejenom pakety se SYN atributem. Radeji to
poopravte, nez si to nekdo postavi :-)
--
Michal Vymazal
gandalf na mbox.vol.cz
Home Computer
Další informace o konferenci Linux