Граница на замке

Антон Карпов, toxa@cterra.ru

Спецвыпуск: Хакер, номер #051, стр. 051-030-8

Учти, что фильтрация пакетов на мосту отличается от таковой на обычном шлюзе. Так, в случае бриджа не будут работать rdr и nat правила, за исключением такой ситуации, в которой каждому интерфейсу моста присвоен IP-адрес. Так что transparent bridge и transparent proxy несовместимы. Кроме того, так как мост соединяет одну и ту же сеть, есть смысл фильтровать пакеты только на одном (внешнем по отношению к локальной сети) интерфейсе, пропуская все на внутреннем.

Вот и все. Одна бессонная ночь - и непробиваемый шлюз для твоей домашней сети готов.

Мнение эксперта

Андрей Матвеев, редактор рубрики "Юниксоид" журнала "Хакер" (andrushock@real.xakep.ru)

Трансляция сетевых адресов, перенаправление пакетов между сетевыми интерфейсами, фильтрация входящих и исходящих запросов... Можно еще очень долго перечислять функции, которые возложены на систему, обеспечивающую взаимодействие домашней/корпоративной локальной сети с интернетом. Не стоит также забывать, что сейчас затмевают собой все другие проблемы и становятся все острее вопросы защиты клиентских компьютеров от несанкционированного доступа. При поднятии шлюза важно выбрать операционную систему именно со следующими достоинствами: обладание грамотной реализацией стека TCP/IP и мощным файрволом с гибким синтаксисом правил; наличие в составе ОС подавляющего большинства сетевых служб, запускаемых от имени непривилегированного пользователя и/или в измененном корневом каталоге (chroot), что позволило бы максимально снизить ущерб при возможном взломе.