UNKNOWING
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: NAT и маскарадинг это одно и тоже или нет? Да. | Нифига. Нет. Маскарадинг для динамически выделяемых IP, NAT для статических, если уж говорить в понятиях iptables. Для динамических потому что маскарадинг перечитычитывает состояние интерфейса на каждом пакете, а соответственно и занимает больше времени работа над пакетом,. Цитата: Вопрос - я попробовал поэксперементировать. На сервере стоят две карты ethernet, одна смотрит на провайдера, другая в локальную сеть. Зарубил маршрутизацию между картами echo "0" > /proc/sys/net/ipv4/ip_forward, интернет-радио отрубилось - проверял у себя ). Почта, сквид, ICQ работали нормально. Получается, мне не нужна маршрутизация на сервере? Только одна непонятная мне вещь, 0 в файле ip_forward держится несколько минут (3-10 мин.), затем значение возвращается прежнее - 1 и радио начинает работать. Почему такое происходит? | Тебе следует почитать основы протокола ip, да и ooptimum тоже,. ip_forward разрешает ядру пакеты пришедшие с одного интерфейса "перебрасывать" на другой интерфейс. NAT с этим ну никак не связан. Для того чтобы тебе выключить ip_forward поставь net.ipv4.ip_forward="0"; в файле /etc/sysctl NAT реализуеться путем настройки iptables, через его правила,. вроде iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source $EXT_IP Вооот,. но ВСЕ транзитные пакеты проходящие через твой маршрутизатор обязательно проходят цепочку FORWARD таблицы filter. Тут то их и надо фильтровать. (как ходят пакеты есть в доке которую тебе tankistua посоветовал). что-то вроде iptables -P FORWARD DROP (по умолчанию все пакеты будут отбрасываться) iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (от нас) iptables -A FORWARD -d 192.168.0.0/24 -p tcp --sport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (и к нам) Это для аськи. Например для ФТП, в активном и пассивном режиме: iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 20:21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (от нас) iptables -A FORWARD -d 192.168.0.0/24 -p tcp --sport 20:21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (к нас) iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT (пассивный режим) Только вот на вскидку не помню какой range портов у пассивного режима ФТП Вообщем еэто очень интерестная тема,. Будут вопросы пиши сюда Добавлено Andrey574 Гых,. Цитата: Т.е. реальное применение NAT - быть экраном между локальной сетью, в которой есть реальные IP-адреса и Глобальной сетью?, в остальных случаях он не нужен. Так? Если я отключу NAT, насколько критично для безопасности будет то, что внешние источники в Интернет узнают адреса моей локальной сети (ведь маскарадинг я отключу)? | Адреса внутри твоей сети - серые, в интернете белые,. интернет таже сеть, только большая. А серые потому что кто-то в интернете не знает как к конкретному компьютеру твоей сети отправить пакет ,. ну что-то в этом роде,. С безопасностью у тебя похоже и без того туго,. Ты можешь пожертвовать icq,. и закрыть всем доступ через NAT, и разрешить только через прокси,. Никто тебя ломать не будет,. а уж тем более маскарадинг не предназначен для того чтобы "узнавали адреса твоей сети" ,. они и так все м известны |