[ SlackList ] [ WkikiSlack ]




Re: atak z zewnatrz - pomocy !!!

From: Karol_82 <karol_82_malpka_interia.pl>
Date: Sun Aug 15 2004 - 08:27:24 CEST

Witaj Marcin,

W Twoim liście datowanym 15 sierpnia 2004 (03:03:08) można przeczytać:

MS> Witam

MS> Sunday, August 15, 2004, 12:31:40 AM, you wrote:

>> Interesuje mnie czy można się jakoś podłączyć od strony Internetu do
>> komputera z adresem nierutowalnym przy translacji 1 do wielu (zwykła
>> maskarada).

MS> Troche zescie namieszali z tym NATem ;) NAT to NAT, czyli w skrocie
MS> podmiana adresow. I teraz w zaleznosci od tego co cemy osiagnac mamy
MS> SNAT (source NAT), DNAT (destination NAT) no i odmiane SNATa - MASQ.

MS> SNAT podmienia adresy zrodlowe. Jezeli mamy lana z nierutowalymi
MS> adresami, to aby pakiety z sieci mogly wyjsc w swiat musza miec jakis
MS> adres rutowalny - najczesciej adres serwera. Serwerek oczywiscie
MS> pamieta ktore lanowe komputerki co wysylaly i w ten sposob odpowiedzi
MS> ze swiata moga wrocic do kompow na lanie.

MS> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $IP_SERW

MS> MASQ to to samo co SNAT, tylko nie wymaga podania opcji --to-source.
MS> Jest to istotne w przypadku posiadania dynamicznego IP. Routerek sam
MS> sprawdza jaki ma IP i taki wstawia jako zrodlo. Jest to ciute
MS> wolniejsze niz SNAT.

MS> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

MS> DNAT podmienia adres docelowy w pakiecie. Tym sposobem mozna
MS> polaczenia z netu do serwera przekierowac np. do kompa z
MS> nierutowalnym adresem.

MS> iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport
MS> 80 -j DNAT --to-destination 192.168.1.1

MS> Wlasciwie bardzo podobnie dziala przekierowanie portow. Ale to chyba
MS> jednak troche inna filozofia.

MS> No i teraz mozna sobie pokombinowac. Np. obojetnie, czy uzywa sie SNAT
MS> czy MASQUERADE - to do kompa na lanie mozna sie dostac korzystajac z
MS> DNAT. To jakby odpowiedz na pytanie.

MS> Ja np. wykorzystuje to do laczenia sie z Remote Desktopem w moim
MS> lanowym kompie. Wszystko dziala ladnie i pieknie.

 jesli mam nieroutowalny ( powiedzmy 192.168.1.2) na desktopie, a na serwerze jest prerouting
"-j DNAT" to ( tak jak pisalem we wczesniejszym poscie) jestem za NATem ( chodzi o destination NAT)

MS> iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport
MS> 80 -j DNAT --to-destination 192.168.1.1

tutaj jest mapowanie na okreslony port, a przerzucenie
wszystkiego na maszyne w sieci

to robi sie tak:

iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -j
DNAT --to-destination 10.0.1.4

 gdzie po opacji -d mamy wlasnie nasz adres routowalny

 tak jest u mnie w sieci, czyli wszystkie komputeruy w sieci maja przez DHCP
 przydzielane adresy nieroutowalne 192.168.1.x, a niektore maja adresy
 publiczne, im zrobiony jest wlasnie prerouting -j DNAT

 
..ale jak jest w sieci w ktorych mam
przydzielony przez uslugodawce adres publiczny, czyli komputery w
lanie nie maja przydzielonych adresow 192.168.1.x a odrazu adresy
routowalne ( te na ktore we wczesniejszym przypadku robilem
maskowanie), te wlasnie
xxx.xxx.xxx.xxx jest odrazu przez DHCP przydzielane ,

 [i moje pytanie]

 ...to czy wtedy jest jakas translacja wykonywana? czy jestem 'jak sie
 mowi poularnie za NATem'? potrzebny jest NAT skoro mam odrazu adres
 routowalny?

-- 
Pozdrowienia,
Yeah
Received on Sun Aug 15 08:27:39 2004
This archive was generated by hypermail 2.1.8. Wyprawa Shackleton 2014