Hy!! Also ich glaube mal ihr habt da einen gravierenden Fehler begangen, denn wenn man die ipchains-regeln so wie ihr es tut setzt, dann kann man ein Sichherheitsloch bekommen das in der deutschen ip-masq howto so beschrieben wird: Viele neue Masq-Benutzer neigen dazu, die Einstellungen auf Kosten der Sicherheit zu vereinfachen, wie z. B. durch die Umstellung des ersten Befehls: /sbin/ipchains -P forward masquerade Die Aktivierung von Masquerading von vorne herein und in alle Richtungen ist aber grundsätzlich NICHT EMPFOHLEN , weil sie für Jemanden, der die Routing-Tabellen manipulieren kann, eine Möglichkeit, seine eigenen Verbindungen durch IHR Gateway zu maskieren, bietet! Also wenn ich mich nicht irre dann tuen eure ipchains-regeln genau dies bewirken, aber ich kann mich ja auch irren!! Besser währe es auf jeden fall von vornherein ip-masq zu verbieten: (ipchains -P forward DENY) und es erst dann für das entsprechende netz zu öffnen, also: ipchains -A forward -s 192.168.x.x/xx -j MASQ wobei 192.168.x.x für die ip-adressen des Netzes gilt. 192.168.6.0/24 gibt dann also ip-masquerading für alle Leute im Netz frei die die ip-adresse 192.168.6.x und die subnetmask 255.255.255.0 haben. Das nur als verbesserungsvorschlag, nachzulesen undter www.ipmasq.cjb.net (da stehen meiner Meinung nach sowieso bessere Anleitungen zu dem Thema Masquerading als hier.....) Gruss Mirko
Mirko
Redaktion
