> > > > > > -j DNAT --to-destination <local_ip>:<port>
> > > > > > и
> > > > > > -j REDIRECT --to-port <port>
> Я не видел тех FM о которых ты пишешь, судя по всему феня в том что
> пользователи думают что соединяются с скажем www.yahoo.com а твой gateway их
> при помощи REDIRECT и какой-то матери втихаря ( transparently ) переправляет
> на свой собственный порт на котором сидит squid.
Вай! Моя пупеть, но не понимать. :-(
Идет пакет на 1.2.3.4:80.
"-j DNAT --to-destination x.y.z.t:3128" его пошлет куда написано.
А "-j REDIRECT --to-port 3128" -- на какой ip???
> > > Ну, подслушать тебя, пожалуй никто не подслушает. Если не вспоминать про
> > >
восможность MITM атак.
> > Каких атак?
> Man-In-The-Middle атак. Идея там простенькая, а имплементация довольно
> сложная. Но если ты боишся что твой нешифрованный трафик могут подслушать то
> стоит знать. Представь, что у тебя два шифрующих клиента ( типа IMAP server и
> IMAP client ), а я злой хакер подсевший на один из сегментов. Значит один
> клиент шлет другому аутентикацию, а я ( как злой хакер ) при помощи вещей
> типа ARP spoofing и тому подобных прелестей получаю этот пакет себе. 1-ому
> клиенту я посылаю ответ ( spoof-еный ) а 2-ому сам посылаю запрос на
> аутентикацию. Таким образом, я устанавливаю две шифрованных сессии одну с
> 1-ым, а вторую со 2-ым клиентом а сам сижу посередине и между ними пакеты
> гоняю. Естественно что расшифровать я после етого могу обе сессии, и
> благополучно извлекаю твой IMAP трафик прямо изнутри твоего "шифрованного"
> канала.
То есть гаду достаточно знать ip сервера и иметь доступ к узлу,
заведому сидящему на пути к клиенту?
Ingvarr.
