Архив форумов ЦИТФорума

[Mary]

Есть локалка и роутер(freebsd) все они воткнуты в sweetch. В локалке на всех машинах стоят реальные IP, на руторе конечно тоже. На руторе открыты 25,110,80,8080 порты. Вопрос следующий как и где настроить рутер чтобы из инета небыло видно локальные машины, но чтобы изнутри можно было ходить на ftp и в инет, ну вообщем без ограничений.

[violator]

Подними natd.

[Dmitry.Karpov]

На http://www.pi2.ru/prof и http://www.pi2.ru/UnixFAQ есть много полезного. Простейший способ - раздать машинам IP-адреса типа 192.168.*.* и выпускать их в Internet через Squid+NAT.

[ilyasov]

Интересно, а есть ли причины для подобной защиты? Мне обычно кажется, что защиту часто ставят просто ради защиты... Может я и неправ.
Может кто просветит .

[Dmitry.Karpov]

Ну, лично я бы первым делом защитил бы от обращения извне порты 135..139.

Во-первых, сама винда на этих портах имеет дыры - PingOfDeath, TearDrop и т.п..

Во-вторых, юзеры так и норовят рас'share'ть ресурсы на полный доступ без пароля (я на днях реально столкнулся с такой проблемой у соседней организации в ходе выяснения, что за машина работает под несанкционированным IP-адресом). В нашей сети люди серьезные, гадить не не умеют, а кто умеет - не будет /* хотя я им создал на диске папку с названием "Большой брат следит за тобой!!!" */, а в Сети мало ли кто порты сканирует в поисках самоутверждения путем пакости ближнему/дальнему...

На Аллаха надейся, а верблюда привязывай! ((C) Усама бен-Ладен) ))