|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 23 Dec 2002 18:06:21
To : Oleg Balychev
Subject : Re: iptables&mac
--------------------------------------------------------------------------------
Oleg Balychev wrote:
> Спасибо, разобрался.
Хорошо. Значит с вашими вопросами завершили. Теперь мой черед. Hе знаю
читает ли кто этот тред еще, но буду надеятся, так как начинать новый тред
с точно таким же названием что-то не хочется.
Исходные данные.
Есть линуксовый проходной рутер с прозрачным проксингом. Hужно добавить
фильтрацию по мак на исходящий трафик.
Варианты решений.
1.Рулы фильтрации вставить в FORWARD, что естественно, и в INPUT для
фильтрации перенаправленного после REDIRECT-а трафика.
2.Фильтрацию прописать в PREROUTING - nat.
Критика.
1.Это естественный путь, но некузявый, imho. Забудем о нем ;)
2.Тут есть засада. Ибо через nat проходят только NEW соединения. Из всех
оставшихся самыми неприятными являются INVALID (и что там еще может
быть).Другими словами, возникает возможность создания паразитного трафика в
обход таблицы nat и соответственно mac-фильтров.
Вопросы по 2-му решению.
Hасколько серьезна угроза такого обхода файрвола и есть ли инструментарий
для этого (про nmap можно не повторяться) ?
И не будет ли достаточным вкатить в начало цепочек INPUT - filter и FORWARD
- filter правила, блокирующие INVALID, для решения вопроса на 99% ?
Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5
* Origin: homenet (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: iptables&mac 