SOLVED: Masquerading problem

Vasilis Vasaitis vvas at hal.csd.auth.gr
Wed Aug 1 02:15:02 EEST 2001


On Mon, Jul 23, 2001 at 11:33:38AM +0300, NKanellopoulos wrote:
> Ο πρώτος από τους ακόλουθους κανόνες (από το ipmasq-howto) ευθύνεται για το
> πρόβλημα,
> αφού απενεργοποιεί εντελώς το IP forwarding.
> 
> /usr/local/sbin/iptables -A FORWARD -j DROP
> /usr/local/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
> 
> Αν τον παραλείψει κανείς, το masquerading δουλεύει μια χαρά.
> Προτείνω όμως την αντικατάστασή του με τον ακόλουθο, για μεγαλύτερη
> ασφάλεια:
> iptables -A INPUT  -p TCP --syn -i ppp0 -j DROP
> 
> Έτσι, οι εισερχόμενες συνδέσεις που αφορούν το πρωτόκολλο TCP απορρίπτονται,
> μόνο για το interface που χρησιμοποιείται για σύνδεση με το Internet. Αν
> αντί για
> dial-up, υπάρχει σύνδεση μέσα από το LAN, θα πρέπει να προσαρμοστεί το "-i
> ppp0",
> π.χ. να γίνει "-i eth0" . Φυσικά, αυτό βολεύει μόνο αν σας ενδιαφέρει
> αποκλειστικά το
> masquerading και όχι π.χ. αν τρέχετε και κάποιον web server.
> 
> Νίκος Κανελλόπουλος
> http://nk.wzpro.net/linux

  Κάλλιο αργά παρά ποτέ...

  Αντί να ελέγχεις SYN πακέτα, μια καλύτερη λύση είναι να χρησιμοποιήσεις το
connection tracking του netfilter. Βαριέμαι να τα αντιγράφω εδώ, δίνω το
link απευθείας στην πηγή:

	http://netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/packet-filtering-HOWTO.linuxdoc-5.html

-- 
Vasilis Vasaitis
vvas at hal.csd.auth.gr

"When he was six he believed that the moon overhead followed him.
By nine he deciphered the illusion, trading magic for fact. No tradebacks.
So this is what it's like to be an adult..."
		-- Ed Vedder





More information about the Linux-greek-users mailing list