форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPTABLES & NAT & ROUTING"
Сообщение от TBAPb on 09-Дек-04, 03:32  (MSK)
Есть две сети. Есть сетевой роутер на Debian Linux 2.4.18. К роутеру подключён USB ADSL Modem. eth0 : 192.168.1.0/24 eth1 : 192.168.2.0/24 tun0 : 195.*.*.* Поднят нат для выхода в инет: /sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE             /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #С наружи только SSH /sbin/iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT             #Всё остальное к чертям ;) /sbin/iptables -A INPUT -p tcp -m tcp -d 195.*.*.* -j DROP         route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.1         Всё бы хорошо но некоторым локальным хостам (допустим 192.168.1.10 и 192.168.2.10) нехотелось бы давать выход в инет. Как это сделать окуратно чтоб не затронуть локальный трафик? Но это ешё не всё! Как бы этим недоверенным хостам не давать доступ к сквиду на порте 8080 запущеном на этойже машине (на роутере) Вопрос ламерзкий до одурения но чтение хауту по iptables не помогает, так как неизучена матчасть ;( Покажите примеры конфигов с такими возможностями плз ;) Знаком с IPFW от фри... там как то проще всё было.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPTABLES & NAT & ROUTING"
Сообщение от bass (??) on 09-Дек-04, 09:09  (MSK)
>Поднят нат для выхода в инет: >/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE вот тут и описывайте кого не стоит выпускать -s !192.168.1.10 >/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT это правило не сработает в некоторых случаях. >#С наружи только SSH >/sbin/iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT советую ssh пересадить на  другой порт >#Всё остальное к чертям ;) >/sbin/iptables -A INPUT -p tcp -m tcp -d 195.*.*.* -j DROP это не всё :) только небольшую часть. >Вопрос ламерзкий до одурения но чтение хауту по iptables не помогает, так >как неизучена матчасть ;( да. перечитывайте. причём даже поверхностно :) p.s. начните c чтения про iptables policy
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "IPTABLES & NAT & ROUTING"
	Сообщение от dimus (??) on 10-Дек-04, 12:46  (MSK)
	В цепочку INPUT попадают пакеты, идущие к нашему серваку. Пакеты, идущие через него транзитом, попадают в цепочку FORWARD. Именно там и надо вводить правила фильтрации. Вообще полезно установить политику по умолчанию DROP, а потом открывать дырки под то, что надо. Поищи учебник по ИПТэйблс на этом сайте - он заслуживает того.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.