|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dennis Melentyev 2:5020/400 25 Oct 2001 21:44:59
To : Alex Shevchuk
Subject : Re: [NEWS] Маршрутизация и файрволл
--------------------------------------------------------------------------------
Hi!
1. Squid не знает практически ничего об адресах и тем более об их
маскарадинге в пакетах. Задача у него другая. Этим занимается nat.
2. Squid умеет говорить только на HTTP. Hу, с диким акцентом, на FTP. Hа
этом его таланты заканчиваются. Т.о. к icmp (ping, traceroute) отношения
никакого не имеет.
3. Прятать свою сеть придется отчаянно. Уши в виде странно высокого трафика
и частоты запрашиваемых УРЛ наведут босса на правильную мысль.
4. Прятать не-веб протоколы придется как-то сбоку - либо выборочным натом
по портам, либо установкой чего-то специфического для их проксинья.
Итого, для начинающего очень много шансов получить по голове от босса, или
быстро и хорошо научиться разбыраться в этой кухне. Правда, наличие шелла на
up-stream хосте ставит под сомненье либо квалификацию его админа, либо
изначально доверительные отношения ко всему, что во внутренней сети живет.
Почитай доку на ipfw для повышения понимания принципов работы firewall.
А еще, как вариант, можешь поставить на своей 192.168.10.1 свой сквид,
дочерним к 10.200 и ждать, когда админ на 10.200 это заметит и придет с ...
Орудие мести назови сам.
On Thu, Oct 25, 2001 at 04:57:09PM +0400, Alex Shevchuk wrote:
AS> Hello dimma@electromir.ru.
AS> 23 Окт 01, 21:49 писал dimma@electromir.ru мэссадж для Alex Shevchuk такого
AS> типа:
d>> Hу ты и сказанул. Можно попроще, а то я нифига из этой каши не понял?
AS> Эх... Я сам-то все это дело не очень понимаю... =)
d>> Есть фря с адресом 192.168.10.1. Hа ней сквид.
AS> Hет. Это сервак в сетке 192.168.10.0, на я пытаюсь поставить файрволл с
AS> маскарадингом, дабы виндовые юзвери, используя его как шлюз, проходили на
AS> сквид,
AS> установленный на 10.200.
d>> Есть машина 192.168.10.200. Через нее весь инет.
AS> Да, на ней сквид стоит. Инет "открыт" только для 192.168.10.1
d>> Ты какие машины имеешь право руками трогать? Обе или только
d>> 192.168.10.1?
AS> Только 10.1. Другой я даже не видел.
d>> Чего ты хочешь -- пингать наружу или только веб смотреть?
AS> Дабы виндовые юзвери занимались веб-серфингом по порносайтам, качали ftp и
AS> получали e-mail. Кажется, это все...
d>> Через сквида у тебя ни пинг ни трейсроут работать не будут,
AS> Хм! Я зашел телнетом на 10.200 (на котором и стоит сквид) и пропинговал
AS> отттуда www.rambler.ru. Как ты это объяснишь?
d>> Что ты хочешь маскарадить и как? Серый адрес клиента на серый же адрес
d>> фри? Зачем?
AS> Серый в смысле 192.168.x.x? Тогда объясняю: это нужно только для сквида на
AS> 10.200, который дает инет только для одной машины - 192.168.10.1. Этот сквид
AS> уже
AS> потом сам преобразует этот адрес в публичный.
AS> Best regards, Alex.
--
Dennis Melentyev
C/C++ programmer @ Mebius-KB, Kiev, Ukraine
dennis@mebius-kb.kiev.ua
--- ifmail v.2.15dev5
* Origin: Mebius-KB (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: [NEWS] Маршрутизация и файрволл 
