Есть маршрутизатор под управлением Linux.
На нём есть следующие интерфейсы: eth0, eth11, eth2, ppp0, tap0.
За интерфейсами сети:
eth0: 192.168.0.0/24
eth1: 192.168.1.0/24
eth2: 192.168.2.0/24
ppp0: 1.2.3.4 и весь интернет
tap0: 10.0.0.0/8
Также прилагается большая таблица статических маршрутов (фактически на всех интерфейсах)
Ну например такого вида:
route add -net 172.16.0.0/12 gw 192.168.1.254 dev eth1
Для всех интерфейсов выставлены в "1" rp_filter.
Всё работает.
Вопрос:
Нужно ли для усиления безопасности (борьба со спуфингом) в iptables прописывать правила такого вида:
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j ACCEPT
iptables -A INPUT -i eth1 -j DROP
т. е. отфильтровывать пакеты с "правильными" исходящими IP на интерфейсе и блокировать с неправильными?
Ответ на:
комментарий
от ksicom
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.