Oricit ar fi de dinamice porturile care le foloseste aplicatia ta, ceva tot trebuie sa fie static. Altfel cele 2 parti nu ar sti pe ce porturi sa comunice. Da' asta e alta problema...
In iptables exista mai multe chain-uri printre care si FORWARD. Tot ce pui in el se refera la pachetele forwardate NU LA CELE GENERATE/PRIMITE DE ROUTER. Deci daca dai drumul in FORWARD la pachete, ele nu au cum sa ajunga pe router, ci doar trec de el. In concluzie, nu poate fi spart router-ul (cel putin nu direct). Pui matale urmatoarele linii: iptables -A FORWARD -i $ext_if -o $int_if -d $adresa_lu_georgica -p udp --dport 1024:65535 -j ACCEPT iptables -A FORWARD -o $ext_if -i $int_if -s $adresa_lu_georgica -p udp --sport 1024:65535 -j ACCEPT iptables -t nat -A PREROUTING -i $ext_if -d $adresarouterului -p udp --dport 1024:65535 -j DNAT --to $adresa_lu_georgica Asta ar translata porturile udp 1024:65535 ale router-ului la adresa nerutabila a lu' georgica. Desigur, mai trebuie sa-i forwardezi si portul static pe care masinile isi negociaza porturile (asta in caz ca nu folosesti un server intermediar). > 5. Daca pe router, nu am instalat decit un sshdaemon, in rest nici un > alt program, as putea sa cofigurez firewall-ul astfel incit sa aceept > pachete de pe (catre) UDP ports peste 1024 de oriunde (catre oriunde). > In acest caz, doresc sa stiu cam care ar fi riscurile. Teoretic, masina > devine exploatabila pe UDP, dar pe porturile respective nu asculta > nimeni. Asta inseamna ca as putea sa ma gindesc la varianta in care sa > accept acesta politica? Daca nu, de ce nu. Poate i-mi dati un mic > exemplu in care masina poate fi exploatata. > --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
