Исходное сообщение
"Интерфейсы+iptables" Отправлено skydion, 10-Июн-07 15:52
>Вот оооочень хороший материал по иптаблес https://www.opennet.ru/docs/RUS/iptables/ , когдато по нему настраивал. > >А по твоему вопросу, скажу, что цепочки относятся к таблицам, таблиц по >умолчанию 3 nat mangle filter, в каждой таблице есть цепочки инпут >и оутпут (и еще другие специфичные для каждой таблицы), так вот >пакет придя на фаервол считается инпут, когда он обрабатывается он может >стать форвард или оутпут или отброситься, если пакет создан локальным приложением >то он пройдет через оутпут цепочки таблиц. >И еще вопрос интересно поставлен, какой интерфейс будет input а какой output?, >у тебя ведь из локалки тоже будут поступать пакеты, они будут >инпут, потому как они пришли на брандмауэр, но и пакеты которые >пришли из внешней сети тоже будут инпут потому что пришли. >Сумбурно получилось у меня, читай доку. Окей кто может подкиньте самый простой фаервол Снаружи (eth3) должно быть закрыто все кроме кроме конекта на 25 и получения ответов на 53,123,1433 Из локалки наружу ничего не ходит кроме как на 1433 из нескольких хостов Все юзеры должны иметь интернет только через сквид. Сам сервак может ходить куда угодно. Как это сделать? Маскарадинг нужно? iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -t nat -F OUTPUT iptables -t nat -A POSTROUTING -s $LAN/24 -j MASQUERADE iptables -A FORWARD -d $LAN/24 -j ACCEPT iptables -A FORWARD -s $LAN/24 -j ACCEPT сейчас только вот это есть, а дальше что и как резать не очень понятно с двумя интерфейсами.