> в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
>
> как я понимаю, если маскарад настроен так:
> ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
>
> то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> то смогу увидеть 192.168.0.* и всю локальную подсетку.
Помоему не так. Ни один уважающий себя маршрутизатор не будет
маршрутизировать пакеты для запрещенных адресов, а именно таковые
стоят у тебя в сетке.
> тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> мне надо прописать маскарад следующим образом:
> ipchains -P forward DENY
> ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> eth0 -j MASQ
>
> мои рассуждения верны?
Как и и сказал не совсем. Хотя в целях паранои второй вариант более
предпочтителен чем первый.
Зато второй вариант (как и первый впрочем) спокойно дает возможность
троянским вирусам рассылать твои данные из машин внутренней сети по
просторам Интернет.
На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
а только определенным машинам и на определенные порты, а лучше всего
вообще избегать использования макскарада и пользоваться различными прокси,
с авторизацией доступа, начиная от squid и заканчивая socks5.
Виктор
