Frozen Fido : RU.LINUX : Re: Masquerading

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     07 Sep 2001  11:18:26
 To : Al Zaharov
 Subject : Re: Masquerading
 --------------------------------------------------------------------------------

 Al Zaharov писал(а):
 
 > 
 > Aleksey Barabanov <alekseybb@mtu-net.ru> wrote:
 > >> www.other.org:80.. snat, посмотрев, что на его интерфейсе уже занят 1026
 > >> будет открывать уже с другого порта соединение для второй винды..
 > > Hу зачем же для 2-х компьютеров указывать только один внешний адрес в
 > > SNAT ? И даже если это так, т.е. адрес один, так ведь можно более четко
 > > квалифицировать адрес источника для этого правила, заставив срабатывать
 > > его только для нужного нам компьютера , а всех остальных отправив через
 > > обычный маскарад.
 > не вижу отличий между простым маскарадом и snat'ом. в доке прямо указано,
 
 Здесь я только хотел сказть, что если внутри два компьютера , то совсем
 не обязательно оба NAT-ить на внешний адрес. Возможно, что второй просто
 рабочая станци и весь поток ip от нее можно направить по иным цепочкав в
 обход рассмотренного нами NAT.
 
 > что использовать простой маскарад следует только тогда, когда нет
 > статического внешнего айпишника на машине, которая и будет этим маскарадом
 > заниматься.. но, посмотрев исходники, можно заметить, что его лучше вообще
 > не трогать, а всегда использовать snat.. хотя как сейчас - не знаю, но во
 
 Я даже не понимаю зачем оставили еще и ipchains.o ;)
 
 > времена iptables 1.2.2 и ядра 2.4.2 в iptables входил патч, который правил
 > этот самый маскарад на предмет некорректной работы при условии, что
 > интерфейс, с которого маскарадим, был опущен, затем поднят, но, паче
 > чаяния, получил тот-же айпишник.. т.е. он рабочий, если интерфейс *всегда*
 > получает новый адрес, отличный от предыдущего, иначе - нет..
 > 
 
 [...]
 
 > чуть-чуть дальше в nat-howto:
 > -- начнем --
 >   Standard NAT Behaviour
 > 
 
 [...]
 
 >     3. The masquerading box tries to make a web connection to
 >        www.netscape.com port 80 from 1.2.3.4 (its external interface
 > address)
 >        port 1024.
 >         ^^^^^^^^^^
 >     4. The NAT code will alter the source port of the second connection to
 >        1025, so that the two don't clash.
 >      ^^^^^^^^
 >    When this implicit source mapping occurs, ports are divided into three
 >    classes:
 >      * Ports below 512
 >      * Ports between 512 and 1023
 >      * Ports 1024 and above.
 > 
 >    A port will never be implicitly mapped into a different class.
 > -- закончим --
 > порты я подчеркнул ;)..
 
 Т.е. просто будет использован следующий из того же класса. Жаль ! Теперь
 по протоколу файрвола уже не различить сканирования из-за маскированной
 сетки ;) Хакерам раздолье.
 
 > 
 > зы. вспоминая старый тред не могу не заметить, что существуют dns-туннели,
 > и несложно накарябать icmp-туннель (еще проще готовый найти, наверное)..
 
 Я правда не припоминаю, но догадываюсь, что это уже в адрес
 первоначально вопрошавшего.
 
 Bye.
 -- 
 Aleksey Barabanov <alekseybb@mtu-net.ru>
 --- ifmail v.2.15dev5
  * Origin: Office Intranet (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: Masquerading	Aleksey Barabanov	07 Sep 2001 11:18:26

Архивное /ru.linux/44139fc06197.html, оценка 1 из 5, голосов 10