LINUX.ORG.RU
решено ФорумAdmin

Более трушный путь проброса в iptables

 , , , ,


2

1

Уважаемые Мастера!

У меня всё работает. Мне лишь хочется понять, насколько это трушно.

Задача: банально, скажем, web-server за firewall. Юзаем iptables.

$INET_IP - внешний IP

10.2.2.1 - уютный IP сервера в локалке.

iptables -t nat -A PREROUTING -p TCP --dport 80 -d $INET_IP -j DNAT --to-destination 10.2.2.1

Плюс у меня по дефолту: 

iptables -P FORWARD DROP

Понятно, что просто пробросив порт - пакетики ходить всё ещё не будут. Нужно разрешить FORWARD. Или юзать SNAT ?

Вопрос: как бы Вы поступили?



Последнее исправление: milkynex (всего исправлений: 2)

Ответ на: комментарий от milkynex

Повторюсь, планируется несколько внутренних серверов, хотелось бы более компактный и правильный путь оформления всего этого дела в iptables.

milkynex
() автор топика
Ответ на: комментарий от BOOBLIK

-A FORWARD -d 10.2.2.1 -i <ext_if> -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

круто, спасибо!

надо попробовать...

milkynex
() автор топика
Ответ на: комментарий от vel

А SNAT тут зачем?

тоже думаю незачем ;)

пасиб!

milkynex
() автор топика
Ответ на: комментарий от BOOBLIK

А разве без --ctstate DNAT не заработает? Оно же вполне себе ESTABLISHED

selivan ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin