Dnia 06-01-2005, czw o godzinie 18:54 +0100, Grzegorz Szymanski napisał(a): > Ostatnio zastanawialem sie nad jedna rzecza. Na komputerze pelniacym role > bramki przekierowywuje wszystkie polaczenia przychodzace na port np 55555 > do komputera w sieci lokalnej na port 22. Uzywam do tego programu redir. > Czy uzywanie tego programu moze powodowac jakas luke w systemi i czy > osoba z zewnatrz moze dowiedziec sie jakie komputery znajduja sie > wewnatrz sieci kozystajac z tego otwartego portu??
Teoretycznie nie. W zasadzie na podstawie wysyłanych przez twoją bramkę pakietów nie da się tego ustalić. NAT działa w ten sposób, że adres źródłowy z nagłówka IP zostaje zastąpiony przez adres maszyny na której działa NAT. Z zewnątrz widoczny jest tylko jeden adres ip, a połączenia do i z komputerów stojących za natem realizowane są w oparciu o porty. W Twowim konkretnym przypadku redir oczekuje na pakiet z ustawionym portem docelowym 55555 i w chwili kiedy takowy otrzyma przerzuca go jak mu kazano do maszyny o określonym adresie ip na port 22, tworzy się w ten spośób kanał dla tego połączenia. I na tym sprawa się kończy, nie dzieje się nic więcej. Także nie wiem w jaki sposób ktoś mógłby coś takiego wykorzystać ;-) P.S. Jeśli masz zainstalowany kernel >= 2.4.x z powodzeniem możesz wykorzystać iptables do realizacji tego zadania. iptables -A PREROUTING -t nat -p tcp --dport 55555 -j DNAT --to adres.i.p.wew:22 -- Krzysztof Królikowski [krzysiek @ pkn . pl] Systems & Network Administrator & PLD Linux developer office: (022) 556 78 88 | nic-hdl: KK1853-RIPE Polski Komitet Normalizacyjny _______________________________________________ pld-users-pl mailing list pld-users-pl@pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-users-pl