Re: Nameservice klemmt

From: Peter Ross <petros(at)pps.de>
Date: Wed, 14 Nov 2001 14:14:21 +0100 (MET)

Hallo,

> > fuer den natd auf dem inneren Router faellt mir im Moment kein guter
> > Grund ein. Verkompliziert das nicht die Lage nur?
>
> Ja, im Moment ist er ueberfluessig. Spaeter, wenn der Bastion Host mit
> den Diensten, die wir nach aussen anbieten wollen steht, schirmt er die
> internen Netze vom Grenznetz ab. Ein potentiell erfolgreicher Angreiffer
> hat nach dem Bastion Host noch den internen Router vor sich.

Ich sehe den Sinn des inneren natd immer noch nicht.

Ich setze natd ein, um die 16 "oeffentliche" Adressen, die ich habe, fuer
100 Rechner zugaenglich zu machen.

Das tut Dein aeusserer natd.

Am inneren Router kannst Du mit oder ohne natd filtern. Und damit der
Bastion Host nicht rein oder raus kann, reicht

ipfw add deny all from bastion to any
ipfw add deny all from any to bastion

oder aehnliches in ipfilter-Syntax (dies ist auch nur Pseudo-Code, aber ich
glaube gerade, es stimmt fuer ipfw), wobei Du ja vielleicht ein bisschen
zulassen willst (angenommen ein ssh zum Reingucken oder Daten auf den
Bastion Host bringen). Die Regel muesste dann davor stehen.

Ich sehe keinen Sicherheitsgewinn durch den inneren natd. Liege ich da
falsch?

Es gruesst
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 14 Nov 2001 - 14:19:19 CET

search this site