[GTER] Pequeno problema com Nat.

Wagner Elias wagner.elias at gmail.com
Mon Sep 18 12:05:28 -03 2006


Pensando em segurança, fazer NAT de sua rede externa (WAN) para rede
interna não é uma boa prática, caso seja explorado uma vulnerabilidade
em seu servidor WEB, toda sua rede interna vai estar exposta.

Lógicamente que deve-se levar em considerações outros controles
implementados e principalmente o fator custo/beneficio.

Att.
-- 
Wagner Elias, CBCP - OWASP Project Leader Brazil
http://wagnerelias.blogspot.com/
Daryus IT Security

On 9/16/06, Lao DanTong <danton at inexo.com.br> wrote:
> On Fri, 15 Sep 2006, Fernando Cordeiro wrote:
>
> > R: Danton:
> > - Realmente não se trata de uma DMZ propriamente falando, seria uma
> > "semi-dmz", apenas coloquei o servidor dentro da rede com um IP inválido.
> > Mas funciona :D
>
> o nome técnico é "screened host". veja o livro "Building Internet
> Firewalls" de Elizabeth D. Zwicky, Simon Cooper, e D. Brent Chapman, ed.
> O'Reily, 2a. edição, Junho de 2000.
>
> > $iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT
> > --to-destination 192.168.6.1 (com ou sem :80 no final)
>
> isto está correto. o que sugere que deve haver alguma outra regra fazendo
> bobagem, por exemplo, uma regra genérica de NAT sem especificação de
> interface. Note que o pacote ainda vai passar pelo POSTROUTING.
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list