Connecta till telefonen med SSH

Öh?

Vet inte vad du sysslar med men jag skulle aldrig någonsin få för mig att routa externa sourceadresser
in till destinationer på mitt svarta nät.

Därför låter jag nat sköta sessionen.

Jag vet inte hur du tänker men att scanna svarta adresser bakom torde vara en omöjlighet.
Framför allt om utsideinterfacet inte har en aning om insideadresserna.

Själv, i de stora nät jag administrerar hanterar vi alltid olika typer av nät på virtuella
routrar (vrf/vr Cisco/Juniper/Extreme).

Det tillåts INGENSTANS att masqde adresser (dvs, de svarta) FÅR routas mot.
Detta är enkla routingkommandon och har inget med ACL eller brandväggsregler att göra.

Så det går således ej att hostrouta eller nätrouta mot vår utsideadress för att accessa
på insidan.

Om våra operatörer ej skötte det denna väg och tillät routing utifrån in mot svarta adresser
ska jag personligen gå dit som rådgivare och berätta för dem hur man bygger nät.

Edit:

För att besvara din fråga kring att dem inom samma nat-router kan prata med varandra:
http://en.wikipedia.org/wiki/Private_VLAN

Mvh
Anders

 

Ok, det går tydligen att lösa med policybaserad routing. Det är inget jag sysslar så ofta med så därför hade jag inte det i tanke. Om du kan Linux så ge gärna exempel på de enka routingkommandon som man använder för att sätta upp en säker NAT-router utan att filtrera med iptables.

 

Hej!

Jag bygger tyvärr inte brandväggar i Linux utan arbetar i huvudsak med Juniper JunOS/ScreenOS samt Cisco ASA/Pix. Även OpenBSD/pf och Solaris/Checkpoint Firewall-1.


Däremot i Linux kan du prova:

sysctl -a | sed -n '/conf\.eth[0-9]*\.forward/p'

Där borde du se vilka nätdevices du hittar och vilka du vill ha igång ipforwarding på.
Där kan du ju välja insideinterfacet att ej forwarda ip

I Solaris har du ndd för att sätta ip_forward på /dev/qfe2 t.ex.

// A

Edit: Råkade skriva /etc men menade /dev

 

Jag provade att stänga av IP forwarding på en brandvägg, men då blockerades trafik som skulle vara tillåten. Jag testade att pinga en host på utsidan från insidan.

I mitt fall är eth0 utsidan och eth1 insidan. Jag provade att stänga av IP forwarding på ett interface i taget men för att trafik skulle flyta igenom krävdes att IP forwarding är aktiverat på båda interfacen.

Parametrarna jag provade att ändra var /proc/sys/net/ipv4/conf/eth0/forwarding och
/proc/sys/net/ipv4/conf/eth1/forwarding.

Policyrouting i Linux styrs för övrigt med "ip rule" och "ip route".

 

Antar isf att Linux har sitt sätt och kompromissar gentemot riktiga brandväggar där
dessa funktioner kan styras efter behag och inte bara en generell kernelparameter.
Eller så är detta löst på ett annat sätt i Linux eftersom NAT ligger i iptablesdelen och inte
som en separat del, t.ex en separat nattjänst.

Mvh
Anders

 

Jag tycker Linux har bättre sätt att se på forwarding, eftersom om man stänger av forwarding på ett interface så kan inte ett paket som kommer in på det interfacet forwardas till ett annat interface oberoende av om man kör NAT eller inte.

 

Och den möjligheten tror du inte finns att justera på övrigt utrustning jag omnämt i denna tråd?

Självklart kan du bestämma exakt hur när vem oss vad var paket ska och
var de inte ska, vad som forwardar och mellan vilka forwarding ska finnas.
Om du vill forwarda eller natta, pat, sat, ospf, bgp, rip, nhrp isis yada

Allt går att göra precis som man vill ha det. Jag har inte kört Linux på allvar
sedan mitten på 90talet och har således ingen 100% koll på hur det ser ut idag då jag föredrar Solaris.
Går säkert att dona till exakt efter behag även i detta OS.
Skulle förvåna mig om det inte gick. Dock vet jag tyvärr inte hur.