Хакер №024. Спецвыпуск
IP-МАСКАРАДИНГ
прячем сеть от чужих глаз
Спецвыпуск Xakep, номер #024, стр. 024-056-2
Теперь проследим сам экшн по net-surf`у. Опера на твоей таче запрашивает хост http://www.worldsex.com и получает IP 207.246.141.25. Она открывает соединение с этим айпишником, юзая локальный порт 666, и запрашивает на веб-сервере (портик 80) страничку harcore_gibbon_anal_mpegs.htm. Пакеты от xakep_host (портик 666) к worldsex.com (портик 80) проходят через фаервольный фильтр, они перелопачиваются так, чтобы выходить с фаервольного порта 11111. Наш любимый firewall имеет допустимый в Инете IP-адрес (213.45.76.11 - взять просто из головы), следовательно ответные пакеты от worldsex.com нормально приходят на файрволл. По прибытию пакеты от worldsex.com к security.megatron.net (порт 11111) перезаписываются так, чтобы идти на xakep_host порт 666. В этом и состоит фокус маскарада: он помнит, когда он перезаписал исходящие пакеты, и может переписывать их обратно, когда приходят ответы на них. Opera отображает долгожданную порнуху. То есть с точки зрения worldsex.com соединение было сделано между 213.45.76.11 (firewall'ом) порт 11111 и 207.246.141.25 (worldsex.com) порт 80. С точки зрения xakep_host соединение было сделано между 192.168.1.111 (xakep_host) порт 666 и 207.246.141.25 (worldsex.com) порт 80. И только файрволл знает всю правду. Вот такие стремные дела =).
ПРИМЕР НОМЕР ДВАС
Так, давай рассмотрим еще один пример. Твоя сетка - часть Интернета: пакеты могут бегать без изменения из одной сети в другую. Адреса IP внутренней сети должны быть назначены из выделенного блока адресов IP (которые пров дал) так, чтобы остальная часть сети знала, как передать пакеты, адресованные тебе. В этом случае фильтрация используется для ограничений пакетов, пересылаемых между твоей сетью и остальной частью Инета, то есть ограничивается только доступ остальной части Интернета к твоим внутренним серверам. Сам пример: открываем доступ из твоей сети к web-сервакам в Инете. В нашей внутренней сети адреса назначены согласно выделенному блоку IP адресов (допустим - 213.45.76.*). Файрволл настроен на пропуск всего траффика. Остальное же настроено так же, как в первом примере. Зажигай! Опера обращается на http://www.worldsex.com и опять же узнает его IP - 207.246.141.25. Затем браузер открывает соединение с этим айпишником, юзая локальный порт 666 и удаленный (на worldsex`е) 80 порт. Ну и, конечно, запрашивается любимая страничка :-). Пакеты преодолевают файрволл так же, как они проходят через несколько маршрутизаторов между тобой и worldsex.com. Гиббоны снова на экране. Что же у нас имеется? А у нас имеется только одно соединение между 192.168.13.111 (xakep_host) порт 666 и 207.246.141.25 (worldsex.com) порт 80. Никаких наворотов, только злобные хацкеры в сеть уже не залезут.
Назад на стр. 024-056-1 Содержание Вперед на стр. 024-056-3