...внешний IP-шник шлюза не "светился"... / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ...внешний IP-шник шлюза не "светился"...

12 сообщений из 12, страница 1 из 1

...внешний IP-шник шлюза не "светился"...

#32929434

ReFleX

Участник

Откуда: СПб

Сообщения: 363

Рейтинг: 0 / 0

Как сделать так, чтобы внешний IP-шник шлюза не "светился" в интернет?

...

Рейтинг:

0 / 0

22.02.2005, 23:49

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32929582

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

А как же работать? Вообще без IP?
Posted via ActualForum NNTP Server 1.1

...

Рейтинг:

0 / 0

23.02.2005, 11:07

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32929692

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 2 / 0

Имеется в виду ... чтобы не было отклика на ping?

...

Рейтинг:

0 / 0

23.02.2005, 12:50

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32929976

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

ipfw настроить.... Хотя, в линукс чё-то своё...
Posted via ActualForum NNTP Server 1.1

...

Рейтинг:

0 / 0

23.02.2005, 17:16

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32930132

DocAl

Участник

Откуда: Оккупирую западный берег

Сообщения: 9 935

Рейтинг: 0 / 0

В линухе iptables, в ископаемых -- ipchains и что-то ещё более раннее, забыл как зовётся(

...

Рейтинг:

0 / 0

23.02.2005, 20:46

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32930226

Adekamer

Участник

Откуда: 127.0.0.1

Сообщения: 1 096

Рейтинг: 0 / 0

Если не ошибаюсь закрываешь на внешний интерфейс icmp тип 8 и радуешся жизни - только оно нафиг ненужно.
Join us and be our friend!

...

Рейтинг:

0 / 0

23.02.2005, 23:36

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32930241

DocAl

Участник

Откуда: Оккупирую западный берег

Сообщения: 9 935

Рейтинг: 0 / 0

Угу, странная мания...
Кому надо -- просканят все порты, а связность сети контроллировать мешает.

...

Рейтинг:

0 / 0

24.02.2005, 00:36

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32930294

sanek842

Участник

Откуда: Тюмень

Сообщения: 1 395

Рейтинг: 0 / 0

если Linux-шлюз не занимается трансляцией адресов, по идее можно и совсем все перекрыть. В iptables в INPUT на внешний интерфейс сначала разрешаем все входящие с "наших" сетей, остальное DROP ( цепочку FORWARD нетрогаем :)
Как побочный эффект, сами с данного шлюза в инет ходит уже не сможем.
А в инете будут светится только IP на которые идет трансляция адресов , выполняющаяся скажем в Motorol-е или Cisco, а в них в свою очередь и будем прикрывать отдельные порты или пинг по доступу в нашу реальную сетку адресов извне.
Думаю так.

...

Рейтинг:

0 / 0

24.02.2005, 07:04

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32931013

Adekamer

Участник

Откуда: 127.0.0.1

Сообщения: 1 096

Рейтинг: 0 / 0

Даже если шлюз - можно закрыть все входяшие внешние - тк при нате - порты открываемые в сеансе автоматически наследуют права исходяших соединений.
Join us and be our friend!

...

Рейтинг:

0 / 0

24.02.2005, 12:53

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32931167

sanek842

Участник

Откуда: Тюмень

Сообщения: 1 395

Рейтинг: 0 / 0

AdekamerДаже если шлюз - можно закрыть все входяшие внешние - тк при нате - порты открываемые в сеансе автоматически наследуют права исходяших соединений.
Join us and be our friend!
Действ., поднял MASQUERADE, перекрыл INPUT, работает ( почему-то )
Честно сказать, пока это в голове как то не укладывается :)
Ведь при nat-е source IP у пакета теперь тот, который перекрываем!

...

Рейтинг:

0 / 0

24.02.2005, 13:48

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32931416

Adekamer

Участник

Откуда: 127.0.0.1

Сообщения: 1 096

Рейтинг: 0 / 0

При соединении с другим хостом на какой то порт - на вашем хосте открывается в этом соединении порт из так называемого непривелигерованного диапазона, те от 1024 и выше. Понятно есть еше ограничения по портам из системы.
Посколько у Ваших правил разрешено обращение к внешним хостам от шлюза , то нат или маскардинг ( в IPTABLES более предпочтителен нат - считается более эфективный механизм реализации) то форвард изнутри на внешнем интерфейсе расматривается как исходящее соединение от Вашего хоста-шлюза.
Как я уже говорил - привелегии на порождаемые процессы наследуются от родителя. Те с правами на исходяшие соединения вашего хоста-шлюза.
Задайте политику по умолчанию на OUTPUT дроп - и у Вас и маскардинг с натом работать небудет, если Вы явным образом не разрешите исходяшие соединения на нужный Вам хост или 0/0
Join us and be our friend!

...

Рейтинг:

0 / 0

24.02.2005, 15:01

| Ответить | Цитировать | Написать

...внешний IP-шник шлюза не "светился"...

#32931780

sanek842

Участник

Откуда: Тюмень

Сообщения: 1 395

Рейтинг: 0 / 0

Adekamer
...
Задайте политику по умолчанию на OUTPUT дроп - и у Вас и маскардинг с натом работать небудет, если Вы явным образом не разрешите исходяшие соединения на нужный Вам хост или 0/0
Join us and be our friend!

А вот с этим пока не срастается
Провел эксперимент, есть IP-шлюз с 2-мя интерфейсами eth1 - серая сетка адресов ( 192.168 ) и eth0 - реальная сеть XXX.XXX.XX.X ( внешний интерфейс )
На шлюзе построил такие правила

Код: plaintext

1.
2.
3.
4.
5.

iptables -F
iptables -t nat -F
iptables -A INPUT -p tcp -i eth0 -j DROP
iptables -t nat -A POSTROUTING -p tcp -s  192 . 168 . 30 . 124  -o eth0 -j SNAT --to-source XXX.XXX.XX.X:50000:65000
iptables -A OUTPUT -p tcp -o eth0 -j DROP

где с клиентской машины 192.168.30.124, у которой route default это наш IP-шлюз, я спокойно хожу в инет через NAT. Цепочка OUTPUT заблокирована!
Что нужно сделать, чтоб у меня инет неработал? :)

...

Рейтинг:

0 / 0

24.02.2005, 16:45

| Ответить | Цитировать | Написать

12 сообщений из 12, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ...внешний IP-шник шлюза не "светился"...

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=32930241&tid=1490967]:	0ms
get settings:	6ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	46ms
get topic data:	5ms
get forum data:	1ms
get page messages:	28ms
get tp. blocked users:	1ms
others:	215ms

total:	315ms