UNKNOWING
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ooptimum
Цитата: NAT и маскарадинг это одно и тоже или нет?
Да. |
Нифига. Нет. Маскарадинг для динамически выделяемых IP, NAT для статических, если уж говорить в понятиях iptables. Для динамических потому что маскарадинг перечитычитывает состояние интерфейса на каждом пакете, а соответственно и занимает больше времени работа над пакетом,.
Цитата:| Вопрос - я попробовал поэксперементировать. На сервере стоят две карты ethernet, одна смотрит на провайдера, другая в локальную сеть. Зарубил маршрутизацию между картами echo "0" > /proc/sys/net/ipv4/ip_forward, интернет-радио отрубилось - проверял у себя ). Почта, сквид, ICQ работали нормально. Получается, мне не нужна маршрутизация на сервере? Только одна непонятная мне вещь, 0 в файле ip_forward держится несколько минут (3-10 мин.), затем значение возвращается прежнее - 1 и радио начинает работать. Почему такое происходит? |
Тебе следует почитать основы протокола ip, да и ooptimum тоже,.
ip_forward разрешает ядру пакеты пришедшие с одного интерфейса "перебрасывать" на другой интерфейс. NAT с этим ну никак не связан. Для того чтобы тебе выключить ip_forward поставь net.ipv4.ip_forward="0"; в файле /etc/sysctl
NAT реализуеться путем настройки iptables, через его правила,. вроде
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source $EXT_IP
Вооот,. но ВСЕ транзитные пакеты проходящие через твой маршрутизатор обязательно проходят цепочку FORWARD таблицы filter. Тут то их и надо фильтровать. (как ходят пакеты есть в доке которую тебе tankistua посоветовал).
что-то вроде
iptables -P FORWARD DROP (по умолчанию все пакеты будут отбрасываться)
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (от нас)
iptables -A FORWARD -d 192.168.0.0/24 -p tcp --sport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (и к нам)
Это для аськи.
Например для ФТП, в активном и пассивном режиме:
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 20:21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (от нас)
iptables -A FORWARD -d 192.168.0.0/24 -p tcp --sport 20:21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (к нас)
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT (пассивный режим)
Только вот на вскидку не помню какой range портов у пассивного режима ФТП
Вообщем еэто очень интерестная тема,. Будут вопросы пиши сюда
Добавлено
Andrey574
Гых,.
Цитата:| Т.е. реальное применение NAT - быть экраном между локальной сетью, в которой есть реальные IP-адреса и Глобальной сетью?, в остальных случаях он не нужен. Так? Если я отключу NAT, насколько критично для безопасности будет то, что внешние источники в Интернет узнают адреса моей локальной сети (ведь маскарадинг я отключу)? |
Адреса внутри твоей сети - серые, в интернете белые,. интернет таже сеть, только большая. А серые потому что кто-то в интернете не знает как к конкретному компьютеру твоей сети отправить пакет ,. ну что-то в этом роде,.
С безопасностью у тебя похоже и без того туго,. Ты можешь пожертвовать icq,. и закрыть всем доступ через NAT, и разрешить только через прокси,. 
Никто тебя ломать не будет,. а уж тем более маскарадинг не предназначен для того чтобы "узнавали адреса твоей сети" ,. они и так все м известны |
