> > в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1) > > > > как я понимаю, если маскарад настроен так: > > ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ > > > > то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0, > > то смогу увидеть 192.168.0.* и всю локальную подсетку. > > Помоему не так. Ни один уважающий себя маршрутизатор не будет > маршрутизировать пакеты для запрещенных адресов, а именно таковые > стоят у тебя в сетке.
Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса 192.168.x.x не "запрещенные", а "приватные". > > тогда если мне надо, чтобы никто из инета не видел мою подсетку, > > мне надо прописать маскарад следующим образом: > > ipchains -P forward DENY > > ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i > > eth0 -j MASQ > > > > мои рассуждения верны? > > Как и и сказал не совсем. Рассуждения верны. > На мой взляд маскарад нужно давать не всем подряд и не на все подряд, > а только определенным машинам и на определенные порты, а лучше всего > вообще избегать использования макскарада и пользоваться различными прокси, > с авторизацией доступа, начиная от squid и заканчивая socks5. Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают? -- Alexey Vyskubov (at home) Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
