Ingress_filtering

Jde o techniku, která zamezí odeslání paketů se zcela zfalšovanou zdrojovou IP adresou. IP adresu falšují především automaty útočící na různé služby a počítače v síti. V naší síti víme jaké IP adresy máme a pokud se objeví odchozí paket s adresu mimo tyto naše adresy tak ho zahodíme neboli DROPneme.

Na jednom stroji jgw se nám sbíhají pakety jdoucí od nás ven do internetu po čtyřech rozhraních eth2, eth2.931, eth2.911 a eth2.910. To, co po nich přijde a nepochází od nás ze sítě 10.32.0.0/15, DROPneme v chainu FORWARD.

#jablonka pres jmnet
iptables $1 FORWARD -i eth2.931 -s 10.32.0.0/15 -j ACCEPT
iptables $1 FORWARD -i eth2.931 -j DROP

#jablonka pres brevnov
iptables $1 FORWARD -i eth2.910 -s 10.32.0.0/15 -j ACCEPT
iptables $1 FORWARD -i eth2.910 -j DROP

#jablonka prosek primi 
iptables $1 FORWARD -i eth2.911 -s 10.32.0.0/15 -j ACCEPT
iptables $1 FORWARD -i eth2.911 -j DROP

#jablonka prosek
iptables $1 FORWARD -i eth2 -s 10.32.0.0/15 -j ACCEPT
iptables $1 FORWARD -i eth2 -j DROP
Tisk/export