forum.opennet.ru - "iptables " (2)

"iptables "

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables "	+/–
Сообщение от gerg (?), 12-Сен-20, 18:34
Добрый день! Есть шлюз с белым IP (1.1.1.1) и две сетки, за ним, с серыми адресами. Провайдер отдал нам еще сеть с белыми адресами 2.2.2.2/28, там будут крутится веб сервера, почтовик, и т.д. К этой сети нужен доступ как из WAN так и из LAN1,2. На шлюз добавлю еще одну сетевую. Система Centos 7. шлюз IP 1.1.1.1 NEW LAN 2.2.2.2/28 (DMZ???) LAN1 192.168.0.1/24 LAN2 10.10.10.1/24 -->WAN-[gate]---2.2.2.2/28 \| \| LAN1 LAN2 Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из локальных сетей и интернета? Или достаточно включенной ip_forward?
Ответить \| Правка \| Cообщить модератору

Оглавление

Точно так-же как доступ из LAN1 в LAN2, например -A FORWARD -i DMZ -o WAN -j ACC, Licha Morada (ok), 18:54 , 12-Сен-20, (1)

gt оверквотинг удален Большое спасибо за ответ POLICY действительно стоят DRO, gerg (?), 14:04 , 13-Сен-20, (2)

Сообщения [Сортировка по времени | RSS]

1. "iptables " +/–

Сообщение от Licha Morada (ok), 12-Сен-20, 18:54

> Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из
> локальных сетей и интернета?
Точно так-же как доступ из LAN1 в LAN2, например.
-A FORWARD -i DMZ -o WAN -j ACCEPT
-A FORWARD -i WAN -o DMZ -j ACCEPT
-A FORWARD -i LAN1 -o DMZ -j ACCEPT
-A FORWARD -i LAN2 -o DMZ -j ACCEPT
> Или достаточно включенной ip_forward?
Если policy в цепи FORWARD стоит в ACCEPT, то да. Но лучше чтоб там было DROP.
Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом NAT будет применятся и к трафику из DMZ в WAN. Его придётся изменить на "всё что уходит к провайдеру И идёт из LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ И идёт из LAN1 или LAN2, надо NAT-ить".
-A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 10.10.10.1/24 -j MASQUERADE
https://tldp.org/HOWTO/html_single/Masquerading-Simple-HOWTO/
(или SNAT вместо MASQUERADE https://terrywang.net/2016/02/02/new-iptables-gotchas.html )
Примерно так.

Ответить | Правка | Наверх | Cообщить модератору

2. "iptables " +/–

Сообщение от gerg (?), 13-Сен-20, 14:04

>[оверквотинг удален]
> чтоб там было DROP.
> Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас
> правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом
> NAT будет применятся и к трафику из DMZ в WAN. Его
> придётся изменить на "всё что уходит к провайдеру И идёт из
> LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ
> И идёт из LAN1 или LAN2, надо NAT-ить".
> -A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
> -A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
> -A POSTROUT
Большое спасибо за ответ. POLICY действительно стоят DROP на INPUT и ACCEPT на FORWARD и OUTPUT. Доступ к серверу я получу только в пятницу, тогда и попробую.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables "	+/–
Сообщение от Licha Morada (ok), 12-Сен-20, 18:54
> Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из > локальных сетей и интернета? Точно так-же как доступ из LAN1 в LAN2, например. -A FORWARD -i DMZ -o WAN -j ACCEPT -A FORWARD -i WAN -o DMZ -j ACCEPT -A FORWARD -i LAN1 -o DMZ -j ACCEPT -A FORWARD -i LAN2 -o DMZ -j ACCEPT > Или достаточно включенной ip_forward? Если policy в цепи FORWARD стоит в ACCEPT, то да. Но лучше чтоб там было DROP. Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом NAT будет применятся и к трафику из DMZ в WAN. Его придётся изменить на "всё что уходит к провайдеру И идёт из LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ И идёт из LAN1 или LAN2, надо NAT-ить". -A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE -A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE -A POSTROUTING -t nat -o WAN -s 192.168.0.1/24 -j MASQUERADE -A POSTROUTING -t nat -o WAN -s 10.10.10.1/24 -j MASQUERADE https://tldp.org/HOWTO/html_single/Masquerading-Simple-HOWTO/ (или SNAT вместо MASQUERADE https://terrywang.net/2016/02/02/new-iptables-gotchas.html ) Примерно так.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "iptables "	+/–
	Сообщение от gerg (?), 13-Сен-20, 14:04
	>[оверквотинг удален] > чтоб там было DROP. > Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас > правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом > NAT будет применятся и к трафику из DMZ в WAN. Его > придётся изменить на "всё что уходит к провайдеру И идёт из > LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ > И идёт из LAN1 или LAN2, надо NAT-ить". > -A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE > -A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE > -A POSTROUT Большое спасибо за ответ. POLICY действительно стоят DROP на INPUT и ACCEPT на FORWARD и OUTPUT. Доступ к серверу я получу только в пятницу, тогда и попробую.
	Ответить \| Правка \| Наверх \| Cообщить модератору