[LUGOS-PROG] Linux in Siolov ADSL
Rok Krajnc
rok_krajnc at lycos.com
Fri May 10 20:20:04 CEST 2002
On Thu, 09 May 2002 09:16:09
Blaz Antonic wrote:
>Zdaj sem to nekako uredil takole (za incoming promet):
>* default policy: reject
>* accept: ves promet iz lokalne mreze
>* accept: ves promet od zunaj iz portov 21, 25, 53, 80 in 110 (ftp,
>smtp, dns, www, pop3)
>* reject: ves promet na porte 0-1023 (mogoce bi moral tukaj se zviat
>stevilko, tam je nekaj portov se za druge stvari, ampak jih imam zaprte
>v /etc/services)
Ce se ne motim, nima IP masquerading nobene veze z normalnimi porti (npr. 80 za http - tako menda deluje proxy), ampak naredi, preprosto povedano, naslednje:
1. Ko dobi paket iz notranje mreze (recimo http zahtevo), mu doloci nek port (ne port 80), v header vstavi svoj (zunanji) IP in poslje v svet.
2. Ko dobi paketek iz neta, pogleda na kater port je priletel - tako ve, kater notranji rac. ga je poslal, v header vstavi originalni port in ip in poslje notranjemu rac.
Torej, jaz sem najprej naredil tako:
1. dovoljeno vse, kar ger ven.
2. noter je dovoljeno samo, tisto, kar je bilo zahtevano iz notranje mreze (established, related).
A si poskusil copy/paste iz IP-Masquerading-HOWTO?
aja ... mislim, da lahko vse porte pod 1024 zapres ... moram pa se preveriti, ce je to res ...
lp, rok
More information about the lugos-prog
mailing list