ipchains a poradi pravidel

Pátek Leden 5 10:35:04 CET 2001

Petr Cech wrote:
> 
> Ing. Pavel PaJaSoft Janousek napsal:
> >       Popisu to jak to je:
> >
> > zde forwardujete cokoli (nikoli maskaradujete), pokud vsak je
> > /proc/sys/net/ipv4/ip_forward na '1'
> >
> > > $IPCHAINS -A forward -s $INTNET -d $REMOTENET -j MASQ
> >
> > zde maskaradujete specifikovane veci
> >
> > > $IPCHAINS -P forward DENY
> >
> > zde zakazujete jakekoli forwardovani
> 
> ehm. to je POLICY, tzn. pokud to nematchuje to prvni, tak to zahodi. poradi
> techto dvou musi (melo by) byt jedno

	Je a neni, to ovsem souvisi spise s casovou souslednosti - neni to
bohuzel atomicke, coz by bylo nejlepsi (ja bych nejprve vse zakazal a
pak bych definoval co lze)...

Nehlede k tomu, ze je spise nez zahazovani vhodne logovani, dozvite se
napr. ze na kazdy Vam prideleny rozsah IP adres je cca 5 scanu denne
(zahrnuje to zejmena Francii -> pres Blizky vychod a po ostrovy na
vychode Asie:-)) apod.

> 
> > Celkovy efekt je, ze v tomto pripade nejprve povolite maskaradu a pak
> > vse jine zakazete, v opacnem pripade nejprve jakekoli forwardovani
    ^^^^^^^^^^^^^^^^^

Ano, pres default POLICY zakazete, ale pouze to 'vse jine' nez co mate v
dane chaine...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------