ipchains a poradi pravidel
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Pátek Leden 5 10:35:04 CET 2001
Petr Cech wrote:
>
> Ing. Pavel PaJaSoft Janousek napsal:
> > Popisu to jak to je:
> >
> > zde forwardujete cokoli (nikoli maskaradujete), pokud vsak je
> > /proc/sys/net/ipv4/ip_forward na '1'
> >
> > > $IPCHAINS -A forward -s $INTNET -d $REMOTENET -j MASQ
> >
> > zde maskaradujete specifikovane veci
> >
> > > $IPCHAINS -P forward DENY
> >
> > zde zakazujete jakekoli forwardovani
>
> ehm. to je POLICY, tzn. pokud to nematchuje to prvni, tak to zahodi. poradi
> techto dvou musi (melo by) byt jedno
Je a neni, to ovsem souvisi spise s casovou souslednosti - neni to
bohuzel atomicke, coz by bylo nejlepsi (ja bych nejprve vse zakazal a
pak bych definoval co lze)...
Nehlede k tomu, ze je spise nez zahazovani vhodne logovani, dozvite se
napr. ze na kazdy Vam prideleny rozsah IP adres je cca 5 scanu denne
(zahrnuje to zejmena Francii -> pres Blizky vychod a po ostrovy na
vychode Asie:-)) apod.
>
> > Celkovy efekt je, ze v tomto pripade nejprve povolite maskaradu a pak
> > vse jine zakazete, v opacnem pripade nejprve jakekoli forwardovani
^^^^^^^^^^^^^^^^^
Ano, pres default POLICY zakazete, ale pouze to 'vse jine' nez co mate v
dane chaine...
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Anenska 11, 602 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux