belial Опубликовано 9 марта, 2012 есть шлюз Linux внутр сеть 10.0.0.0/24 внешн сеть 192.168.1.2/24 10ая сеть за натом, allow forward у провайдера шлюз 192.168.1.1/24 Что если провайдер пропишет маршрут -net 10.0.0.0/24 gw 192.168.1.2 ? Как лучше защититься? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 9 марта, 2012 (изменено) ну запрети с внешнего ip эту сеть. Изменено 9 марта, 2012 пользователем dignity Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 марта, 2012 Безопаснее всего будет все 8 жил сетевого провода заземлить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 9 марта, 2012 Безопаснее всего будет все 8 жил сетевого провода заземлить. - причем прямо в розетку 220 ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 9 марта, 2012 Да, и перед этим спаять их еще для верности Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
belial Опубликовано 9 марта, 2012 (изменено) ну запрети с внешнего ip эту сеть. какую сеть запретить? мой def route 192.168.1.1, я на него всё разрешаю. Безопаснее всего будет все 8 жил сетевого провода заземлить. вы видимо всеведующий эксперт форума, искренне за вас рад. Изменено 9 марта, 2012 пользователем belial Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 9 марта, 2012 belial Почитайте про conntrack, что такое NEW, ESTABLISHED и RELATED, после чего станет понятно как заблокировать незапрашиваемый трафик, который подлый провайдер хочет запустить в вашу внутреннюю сеть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 9 марта, 2012 подлый провайдер очень метко =) по-другому при всех исходных и не скажешь ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
belial Опубликовано 9 марта, 2012 belial Почитайте про conntrack, что такое NEW, ESTABLISHED и RELATED, после чего станет понятно как заблокировать незапрашиваемый трафик, который подлый провайдер хочет запустить в вашу внутреннюю сеть Спасибо Друг ! :) почитаем! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 10 марта, 2012 10ая сеть за натом, allow forward Что если провайдер пропишет маршрут -net 10.0.0.0/24 gw 192.168.1.2 ? Как лучше защититься? iptables -I FORWARD -s 192.168.0.0/16 -d 10.0.0.0/24 -m state --state NEW -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 12 марта, 2012 Я бы не к адресу шлюза цеплялся - а вообще к внешнему, например eth0, интерфейсу: iptables -t mangle -I PREROUTING -i eth0 -d 10.0.0.0/24 -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...