IP maskarada (was: Re: Apache Proxy)

[Jan Kebrle]

Jan "Yenya" Kasprzak <kas at fi.muni.cz> pí¹e v èlánku
<4il0r5.bh.ln at localhost>...
>..................
> 	Tohle je podle meho nazoru nesmysl. Z hlediska ISP ma klient
> pouzivajici IP Masquerade jednu IP adresu a sirku pasma danou jednou
> linkou. Prece neni rozdil v tom, jestli si do Internetu pripojim pres
dial-up
> linku UN*Xovy server se 150 uzivateli, kteri vsichni mohou zaroven
> pristupovat na Sit, nebo jestli tam dam Linux s IP Masq a 150 dalsich
> jednouzivatelskych pocitacu.

To je pravda, ovsem takovej nepatrnej detajl je v tom ze na (pro ty co maj
radi cestinu, tak na to nectete) spociva v tom, ze zcela urcite pres
komutovanou linku neprotlacim vic 3-4 lidi soucasne, takze asi 150 juzrovej
unixovej servr, pres to zcela urcite neprozenu.

>
> : IP maskarada nema nic spolecneho s bezpecnosti (pocitac datagramy
normalne
> : propousti, jen meni jejich hlavicky), firewally a podobnymi mechanismy.
> : Pokud snad existuje nejaky trik, jak ji zapojit do bezpecnostnich
sluzeb,
> : rad o nem uslysim.

S tim moc nesouhlasim, podle toho co jsem se dozvedel ja, jde o to ze, ze
on nemeni jen jejich hlavicky, on totiz provede preklad IP adresy na jinou
IP adresu nebo neco velmi podobneho.
Ekvivalentem pro tohle reseni je na novelu napriklad IP/IPX Gateway, (tady
se pomnerne blbje nabourava do lokalni site, kdyz mi jede na IPX protokolu)

> 	Tohle je prece jasne: IP Masq propousti v podstate jen packety, ktere
> prislusi TCP spojenim, iniciovanym z vnitrni site. To jest z Internetu
> se telnetem nelze dostat dale, nez na router, ktery provadi IP
Masquerading.
> Takze pokud se jako router udela hodne orezany stroj s TCP-wrapperem pro
> pristup pouze z vnitrni site, jde zaroven o celkem dobry jednoduchy
> firewall pro zamezeni utokum zvenku.
Co je orezane to se blbje konfiguruje ze? :)))

>
> -Yenya

Jan Kebrle

mort at dns.terminal.cz