Firewall: различия между версиями
PhpCoder (обсуждение | вклад) (Import from freesource.info) |
Нет описания правки |
||
Строка 1: | Строка 1: | ||
[[ | [[Категория:Documentation]] | ||
[[Категория:Admin]] | |||
{{MovedFromFreesourceInfo|AltLinux/Документация/firewall}} | {{MovedFromFreesourceInfo|AltLinux/Документация/firewall}} | ||
{{stub}} | |||
== Firewall == | == Firewall == | ||
=== Роутер === | === Роутер === | ||
Строка 9: | Строка 12: | ||
(для всех необходимых интерфейсов) | (для всех необходимых интерфейсов) | ||
Это необходимо, если маршрут для сети не задан явно, ведь по IP-адресу MAC-адреса хостов из другого сегмента сети определить невозможно. При включении proxy_arp роутер будет транслировать протокол ARP, отвечая на все запросы ARP who-has на интерфейсе eth1 для хостов в подключенной за ним к eth0 сети и будет форвардить трафик для них, | Это необходимо, если маршрут для сети не задан явно, ведь по IP-адресу MAC-адреса хостов из другого сегмента сети определить невозможно. При включении proxy_arp роутер будет транслировать протокол ARP, отвечая на все запросы ARP who-has на интерфейсе eth1 для хостов в подключенной за ним к eth0 сети и будет форвардить трафик для них, то есть для узла это будет выглядеть как будто в непосредственно подключенному к нему сегменте находятся хосты из обеих сетей (сегментов), поэтому явное прописывание маршрута не потребуется. | ||
=== Ссылки === | === Ссылки === |
Версия от 22:38, 6 августа 2008
Firewall
Роутер
При настройке роутера в режиме моста (когда он будет принимать пакеты, предназначенные другому узлу), нужно включить proxy_arp:
echo 1 > /proc/sys/net/ipv4/conf/eth?/proxy_arp
(для всех необходимых интерфейсов)
Это необходимо, если маршрут для сети не задан явно, ведь по IP-адресу MAC-адреса хостов из другого сегмента сети определить невозможно. При включении proxy_arp роутер будет транслировать протокол ARP, отвечая на все запросы ARP who-has на интерфейсе eth1 для хостов в подключенной за ним к eth0 сети и будет форвардить трафик для них, то есть для узла это будет выглядеть как будто в непосредственно подключенному к нему сегменте находятся хосты из обеих сетей (сегментов), поэтому явное прописывание маршрута не потребуется.
Ссылки
- настройка firewall в etcnet
- iptables tutorial
- Firewall за 10 минут
- http://ru.gentoo-wiki.com/Настройка_iptables_для_начинающих
- http://ru.gentoo-wiki.com/Подробная_настройка_iptables
- Основы использования iptables
- Фильтрация пакетов по географическому признаку с помощью iptables и geoip
- К вопросу об использовании rc.firewall vs «как обычно»
- Примеры настройки роутера
- Настройка прозрачного прокси
- http://gazette.linux.ru.net/rus/articles/lartc/x2879.html
- http://www.webcreativestudio.com/?id=inter¶m=tcp&lang=2&doc_dop_param=6.txt