NAT und wie sicher?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Hovy
Beiträge: 84
Registriert: 15.01.2004 20:43:06

NAT und wie sicher?

Beitrag von Hovy » 20.04.2004 04:49:21

Ich habe mal eine kleine frage und zwar wenn ich masquerading per

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
aktiviere und dann noch ip forward erlaube

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
dann werden doch alle packete an so verändert das sie die aktuelle ip von ppp0 bekommen.
könnte dann nicht auch jemand von außen der meine Internetip(ich weißt ist irgendwie flasch ausgedrückt aber ihr wisst was ich meine) hat meinen router als gateway benutzen? wenn ich nicht nach folgenden Regeln filtere?

Code: Alles auswählen

iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i ppp0 0 -m state --state NEW,INVALID -j DROP
ich bin gerade etwas verwirrt.

Hovy

Benutzeravatar
spiffi
Beiträge: 1128
Registriert: 09.08.2003 19:02:27

Re: NAT und wie sicher?

Beitrag von spiffi » 20.04.2004 10:07:15

Hovy hat geschrieben:könnte dann nicht auch jemand von außen der meine Internetip(ich weißt ist irgendwie flasch ausgedrückt aber ihr wisst was ich meine) hat meinen router als gateway benutzen?
Ja, das ist möglich. Gut erkannt. :-)
Hovy hat geschrieben:wenn ich nicht nach folgenden Regeln filtere?

Code: Alles auswählen

iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i ppp0 0 -m state --state NEW,INVALID -j DROP
Also diese INPUT-Regel ist generell eine gute Idee, bringt Dir aber bei dem Masquerading-Problem nichts, da die fraglichen Pakete über die FORWARD-Chain laufen.
Die FORWARD-Regel sollte funktionieren.

Eine andere Lösung könnte etwa so aussehen:

Code: Alles auswählen

LAN=192.168.1.0/24
iptables -t nat -A POSTROUTING -o ppp0 -s $LAN -j MASQUERADE
No language can express every thought unambiguously, least of all this one. -- D. R. Hofstadter

LittleBoy
Beiträge: 718
Registriert: 30.04.2002 14:32:26

Beitrag von LittleBoy » 20.04.2004 16:42:02

Um das eigentliche Problem zu lösen, kann man das Forwarding explizit für jedes Interface über
echo 0 > /proc/sys/net/ipv4/conf/ethX/forwarding
ausschalten.

Hovy
Beiträge: 84
Registriert: 15.01.2004 20:43:06

thx

Beitrag von Hovy » 20.04.2004 22:49:04

Danke @Spiffi habe es jetzt 2 mal limitiert einmal mit der FORWARD chain und einmal durch die definition des LANs beim masqueradeing

@LittleBoy mit forward für ppp0 finde ich nen bissel ungünstig aber an sich auch ne Idee hat mich gerde noch auf ne ganz andere Idee gebraucht

Hovy

Antworten