On Thu, Jun 14, 2018 at 03:02:24PM +0300, Victor Wagner wrote: > On Thu, 14 Jun 2018 14:55:36 +0300 > Alexander Danilov <alexander.a.dani...@gmail.com> wrote: ... > > таких девайсов. Да, там 2 ната получается и меня это нисколько не > > напрягает. А вот бриджить пакеты от свистка я бы не рекомендовал - > > обновить прошивку на роутере в случае обнаружение проблем с > > безопасностью значительно легче, чем искать исправленную прошивку для > > модема. > > Вообще говоря, не надо думать > 1. Что NAT автоматически обеспечивает безопасность. > 2. Что его разумно использовать для обеспечения безопасности.
Таки да, nat автоматически даёт существенный элемент безопасности и использовать это разумно. Но следует помнить, что безопасность всегда определяется многими элементами, если их удаётся выстроить каскадом, то уровень безопасности от этого усиливается. Поэтому лучше не ограничиваться nat-ом, а настроить ещё и пакетные фильтры. > Настроить фильтрацию пакетов через ebtables можно и в режиме бриджа. В ebtables нет самого главного элемента современных пакетных фильтров - трекера коннекций, который conntrack. Поэтому ebtables как ip-фильтр стоит на уровне ipchains, которому 20 лет уж царствие небесное... :) -- Eugene Berdnikov
