hmm měli by ho umět všechny aktivní sítove prvky pasivni vecinou ne .. em a jestli je zapnuty vsude to je vec jina neda se obecne rici o nicem ze je zapnute nebo neblokovane vizSamozřejmě source routing je velmi nebezpečná metoda, kterou firewally obecně blokují, protože je s ní možno provádět řadu různých podvodů. Pokud ovšem nemáme žádný filtr a spoléháme se na NAT, útočníkovi nic nestojí v cestě.
Ono to nemusi byt jen o source routingu.
Bezna situace je ta, ze utocnik je (nebo muze byt) ve stejne podsiti jako vnejsi IP adresa NAT. Takze prvky cestou o smerovani presvedcovat nemusi a jen si sam prida cestu k te vnitrni siti pres branu (vnejsi adresu NAT). Brana mu pak pozadavky normalne vraci.
A do stejne podsite se dostane treba i tak, ze zde napadne nejaky pocitac.
To je klasicky problem ve velkych kancelarskych budovach, kde jsou vsichni pripojeni pres jednoho providera. Rozsah pridelenych IP adres je tam celkem zrejmy, a spousta firem je pripojena pres jednoduchy router s NATem, takze kdo si chce zkouset jake to je dostat se pres NAT do cizi site, ma dvere otevrene ... :-)
Je to standardní vlasnost, aktivní prvky ho umí, ale třeba Cisco ho už před mnoha a mnoha lety změnilo defaultní konfiguraci tak, aby byl vypnutý. Důvod - právě možné zneužití. Tipoval bych, že ostatní větší výrobci aktivních prvků to mají stejné a docela mě překvapilo, že se někdo může spoléhat na to, že source routing k něčemu využije. Zajímalo by mě, jak je to v linuxu/bsd se zapnutým ip forwardingem - nevíte někdo?
Az na to, ze tato volba = routovani paketu = zmenozni i provoz NAT (pokud je 0). Kazdy NAT/router to musi mit povoleno, jinak nefunguje.
Na linuxu existuje mimo jine moznost zakazat routovani paketu, ktere prichazeji ze "spatneho" smeru (= prichazeji ze zdroje, pro ktery vede cesta pres jine rozhrani), coz je ovsem nepouzitelne, pokud se routuje dynamicky (napr czf).
BTW: "echo 1 > /proc/sys/net/ipv4/ip_forward" je pekna prasarna, kdyz uz tak "sysctl -w net.ipv4.ip_forward = 1"
