|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Vladimir V. Kamarzin 2:5077/16.35 14 May 2004 22:26:08
To : Alexander Goldun
Subject : Re: Re:виртуальный шлюз
--------------------------------------------------------------------------------
>>>> Чем чревато прямое физическое подключение сегмента локальной сети к
>>>> инету,
>>> Какое ж оно у тебя прямое? :-)
AG> я имел в виду физически прямое, т.е. примерно так:
AG> Инет
AG> |
AG> |= Шлюз (192.168.1.200, 213.x.x.x)
AG> |- рабочая станчия 1 (192.168.1.1)
А, понял.
>>> В общем, стандартная схема раздачи интернета... Машины, сидящие за
>>> NAT-ом, прямым атакам из интернета не подвержены - ибо снаружи-то к
>>> ним никак не подконнектиться (если конечно у тебя dNAT не поднят).
AG> см. выше. Впрочем уже отвечено:
>> Можно попробовать ;)
>> Администратор ближайшего шлюза пропишет _у_себя_ маршрут на сеть
>> 192.168.х.х. Если клиент активизировал ip_forward и не поднял файрвол -
>> очень даже вероятно, что у злого админа всё получится.
AG> где и зачем активизировать форвард?
[vvk@vvk vvk]$ grep ipv4.ip_forward /etc/sysctl.conf
net.ipv4.ip_forward = 0
Его активизируют, чтоб тачка перебрасывала пакеты с интерфейса на интерфейс.
AG> Правильно ли я понял, что отличие такой схемы в плане безопасности от
AG> классической лишь в том, что она уязвима для ближайшего шлюза?
Hу в общем да.
--
> Я уже придумал способ изготовления Манны Hебесной на время этого перехода.
> Как только hasher-0.9.5-alt1 будет выложен, я расскажу подробнее.
Пиво только членам профсоюза? :-)
-- morozov in sisyphus@
--- tin/1.7.3-20031220 ("Taransay") (UNIX) (Linux/2.4.22-std-up-alt17 (i686))
* Origin: INN was here (2:5077/16.35)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
