IP maskarada (was: Re: Apache Proxy)
Jiri Calda
calda at dzungle.ms.mff.cuni.cz
Tue Jul 22 08:23:21 CEST 1997
Zdravim,
On Mon, 21 Jul 1997, Pavel Satrapa wrote:
> IP maskarada nema nic spolecneho s bezpecnosti (pocitac datagramy normalne
> propousti, jen meni jejich hlavicky), firewally a podobnymi mechanismy.
Vetsina firewallu (ono je ale otazka, co to firewall vlastne je, neb dnes
kdekdo vydava za FW lecos) funguje na principu filtrovani paketu. Jelikoz
preklapeni adres (v maskarade v Linuxu, ip translation na CISCu a pod.)
probiha na zaklade tabulek patricnych soketu, pak velmi jednoduchem
nastaveni (nevim jak u Linuxu, divil bych, kdyby to bylo jinak)
neni mozne otevrit konexi na stroj, ktery je
za timto nastrojem. A to je u mnohych to, co pavazuji za FW. Nicmene zabezpecit
takto lze sit velmi dobre.
> Pokud snad existuje nejaky trik, jak ji zapojit do bezpecnostnich sluzeb,
> rad o nem uslysim.
Neni to trik. Mam napr. sit a tu chci celou ochranit.
Internet <-----> Router <-----> Sit.
Stroj ze site posila paket na stroj do I. Ten zachyti R. Do sve tabulky si
zapise ze ktereho soketu!!! jde paket a posle jej jako ze sveho vnejsiho
interface z volneho soketu. Stroj v I odpovi, R ale vi, ze jej ma poslat
do S na soket, ktery ma v tabulce. Pakety ze vnitr (z S) do I chodi. Naopak
stroj z I posle paket do S?? Jak, kdyz adresa v S neni znama? Muze posilat
pakety jen na R na ruzne sokety. A to jsou maix. jiz aktivni spojeni, takze tam
se do nich zrovna slavne nedostane. Samozrejme je to jen priklad. Nepopisuji,
jak resit postu (lze a bez problemu), vlastni servery, ale to nebylo soucasti
dotazu.
> Preji vsem pekny den (tady to na nej zatim moc nevypada...)
Neni vse jen v pocasi.
Ahoj Alex
More information about the net
mailing list