LINUX.ORG.RU
ФорумAdmin

MASQ + запрет выхода на FAKE адреса . Как ?


0

0

Я задавал вопрос уже тут :
http://www.linux.org.ru/view-message.jsp?msgid=613222&back=view-group.jsp...

все путем , эту задачу я относительно решил , сделал так :

iptables -P FORWARD DROP

iptables -A FORWAED -s 192.168.0.0/24 -d $IP -j ACCEPT
iptables -A FORWARD -s $IP -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d $IP -j MASQUERADE

где $IP список ип адресов на которые даю доступ простым смертным.

большим и важным даю полный доступ в таком виде :

iptables -A FORWAED -s 192.168.0.50 -d 0/0 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.50 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.50 -d 0/0 -j MASQUERADE

как результат , слушая внешний интерфейс - там больше нет фейковых ИП адресов ;) результат достигнут . НО .
Есть ешо реальные ип адреса и есть "горе-важные" юзвери , которые могут слать пакеты на фейковые адреса которых не существует в моей сети , и следовательно рутер их гонит наружу , т.е. например tracert 192.168.10.1 - рутер погонит эти пакеты наружу в надежде получить ответ от 192.168.10.1 . Если это делают фейковые клиенты 192.168.0.0/24 - то они выйдут в виде NAT , если это будут реальные ип адреса у клиентов то они просто выйдут наружу . Что тоже не верно идеологически !
Т.е я хочу закрыть сети :
192.168.0.0/16
10.0.0.0/8
172.16.0.0/20
но при этом я же не могу закрыть просто форвард 192.168.0.0/16 , так как автоматически мои юзвери с 192.168.0.0/24 не вылезут в нэт .

Вопрос - как быть ? И возможно ли решение этой проблемы ? А то ешо пров и на эту тему претензию сделает ... как бы так нельзяже гонять в интернет пакеты где dest стоят фейковые ИП .

anonymous

> Что тоже не верно идеологически ! Вопрос - как быть ?
Неверно то, что вообще не закрыт доступ на локальные адреса, при попытке выйти наружу. Попробуйте сначала запретить то, что не должно выходить от ЛЮБОГО клиента вашей сети, а только потом разрешать:
iptables -I FORWARD 1 -o $inet_interface -d 192.168.0.0/16 -j DROP
iptables -I FORWARD 2 -o $inet_interface -d 10.0.0.0/8 -j DROP
iptables -I FORWARD 3 -o $inet_interface -d 172.16.0.0/20 -j DROP

> А то ешо пров и на эту тему претензию сделает
Если пров имеет право предъявлять такие претензии, то пусть скажет четко и конкретно какой траффик с вашей стороны он считает корректным.

spirit ★★★★★
()
Ответ на: комментарий от spirit

о , спирит , спасибо , то что надо !

anonymous
()
Ответ на: комментарий от anonymous 

route add -net 10.0.0.0 netmask 255.0.0.0 reject
route add -net 172.16.0.0 netmask 255.240.0.0 reject
route add -net 192.168.0.0 netmask 255.255.0.0 reject
route add -net 224.0.0.0 netmask 224.0.0.0 reject

ansky ★★★★★
()
Ответ на: комментарий от ansky

route add -net 10.0.0.0 netmask 255.0.0.0 reject route add -net 172.16.0.0 netmask 255.240.0.0 reject route add -net 192.168.0.0 netmask 255.255.0.0 reject route add -net 224.0.0.0 netmask 224.0.0.0 reject

и после таких правил доступ к 192.168.0.0/24 будет закрыт

anonymous
()
Ответ на: комментарий от anonymous

> и после таких правил доступ к 192.168.0.0/24 будет закрыт

Ерунду ты сказал. Так как в сеть 192.168.0.0/24 есть отдельный маршрут.

ansky ★★★★★
()
Ответ на: комментарий от ansky

ну , я не проверял , может и ерунду говорю , дело в том что совет спирита решил эту проблему ;) , а ваш совет я решил не проверять ... Я пользуюсь не route а пакетом iproute2 для разделения трафика по интерфейсам , поэтому лишний раз дергать route когда проблема красиво решилась при помощи iptables очень не хочеться

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin