← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #28545

Re: ipchans Maskerade, kontra ip NAT

  Thread PreviousDate PreviousThread Next 

>Jeg ville holde mig til ipchains (Linux 2.2) / iptables (Linux 2.4),
>og blot skifte interfacet ud i dit setup-script.
>
>ipchains har bedre muligheder for at filtrere trafikken og styre hvad
>der må komme ind/ud end den simple NAT funktion, som jeg antager at
>iproute faciliteten tilbyder. Jeg tror heller ikke, at den kan håndtere
>ting som ftp downloads, der kræver ændring af protokol-data.
>
>Men tag det med et gran NaCl - jeg har ikke selv leget med Kuznetzov's
>kode. Er det for resten ikke kun fuldt udbygget i Linux 2.4 kernerne ?


Så vidt jeg har kunnet læse mig til, er selve den dynamiske routing
funktionalitet indbygget allerede i kerne 2.2.x. De fleste distributioner
har dog ikke meget andet end *route* med, og mangler altså et program som
kan sætte kernen i arbejde. Det er denne mangel, som Kuznetsovs iproute2
afhjælper, med *ip* programmet. Der står noget om det på:

http://www.snafu.freedom.org/linux2.2/iproute-notes.html

Ideen i set-up'et var:

-->POT-->ADSLMODEM bad-->MASKINE 1 dmz-->MASKINE 2-->HUB to good->
--------------------------1 + 2------------3 + 4------------------

1. Firewall, ipchains filtrering direkte på cybercitys IP på venstre
side af maskine 1.
2. NAT/ip konvertering af cybercitys IP til 192.168.0.x på højre
side af maskine 1. (Omkodning af eet-IP-til-eet-IP, pakke for pakke)
3. 192.168.0.x fra højre side af maskine 1 forbindes med venstre side
af maskine 2.
4. Højre side af maskine 2 får 192.168.2.x og forbindes til en hub, som
klienterne kobles på. Ipchains maskerade for klienterne sker altså
mellem klienterne 192.168.2.x og 192.162.1.x, og ikke mellem
klienterne og cyberIP.
En spoofer skal altså passere 192.168.1.x og opdage 192.168.2.x
før han for alvor kan ødelægge noget.

Det ekstra led skulle give noget mere fleksibilitet, i og med at
firewalling og maskerade skilles ad. Det kunne jeg også opnå med
ipchains på maskine 1. Fordelen med NAT/ip skulle være, at den kun
omskriver IP nummeret, uden at pille ved de portnumre som ligger i
datagrammernes headere.

Chr. Hansen

Follow ups

  Thread PreviousDate PreviousThread Next