|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Rakov 2:5020/400 21 Mar 2002 19:50:08
To : All
Subject : natd & ipfw & security
--------------------------------------------------------------------------------
Hello!
Помогите, плз, с такой ситуацией.
Допустим есть 2 ethernet-а: большой (адреса 10.0.0.0/24) и маленький
(192.168.1.0/24). Есть комп с эхотагом, смотрящий в обе сети (интерфейсы xl0
и xl1 соотверственно). Адреса маленькой сетки транслируются natd-ом в
большие. Еще из большой сетки есть дырка в Инет, который стоит денег.
Подскажите, пожалуйста, как воспрепятствовать такой ситуации, когда злобный
хацкер из большой сети, прописывает себе гейт на этот комп и имеет инет за
чужой счет? У natd-а я не нашел опций, запрещающих подключаться не из
внутренней сети, а из внешней. У ipfw такие правила:
ipfw add divert natd from any to any #дивертиться должно в обе стороны, то
есть всякие in via xl1 и т.п. не работают
ipfw add allow all from any to any
Т.е. иначе по-любому внутренняя сеть не видит внешней и инета.
К тому же этому хакеру ничто ведь не мешает прописать у себя ip 192.168.1.x.
и тогда
ipfw add deny all from 10.0.0.0/24 to not 192.168.1.0/24 recv xl0 -- тоже не
проканает.
Hаверняка кто-нибудь уже сталкивался с подобными проблемами, скажите, какие
вы используете правила на файрволле?
Алексей.
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
