LINUX.ORG.RU
ФорумAdmin

iptables, открыть доступ на определенный ip всей внутренней сети

 ,


0

1

Добрый день. Имеется сеть, шлюз на Linux Debian. 2 интерфейса, внешка и локалка. Все стандартно. Подскажите, как открыть всей внутренней сети доступ на определенный внешний ip. Сейчас доступ появляется, только если прописать следующее правило к примеру:

$IPTABLES -A FORWARD -s 192.168.28.4 -j ACCEPT

НО, данное правило открывает вообще все. Доступ к инету, если не использовать squid проксик, доступ вообще на все ip внешние. Я хочу открыть не все, а именно один ip адрес. Подскажите, как решить такой простой вопросик.

iptables -A FORWARD -s 192.168.28/0 -d 8.8.8.8 -j ACCEPT
iptables -A FORWARD -s 8.8.8.8 -d 192.168.28.0/24 -j ACCEPT

при условии что NAT настроен

greek_31 ★★ ()
Ответ на: комментарий от serega1576

Телефония

Не стал новой темы создавать. Еще один вопросик, помогите люди) Ситуация такова, настроил Asterisk на шлюзе с Debian. Провайдер дал свои данные для подключения. Все настроил, sip регистрируется, но есть проблемка с iptables опять(.. В самом начале скрипта, который у меня следующие все правила, есть такие строки:

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
........................
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
Дык вот, sip номер провайдера регистрируется только если поправить третью с низу строчку и сделать:
$IPTABLES -P INPUT ACCEPT
То бишь пустить весь трафик, как я понимаю... Перезапустить правила и номер регистрируется. В другом случае в seep show peers показывает статус:
350***/350***     91.1**.***.22     5060     UNREACHABLE
Все уже поперебовал. Сейчас правило такое весит, но оно не срабатывает...

$IPTABLES -A INPUT -p ALL -s 91.1**.***.22 -j ACCEPT

Помогите, что можно еще попробовать...

serega1576 ()
Ответ на: Телефония от serega1576

Asterisk на шлюзе с Debian

...

но есть проблемка с iptables

Если речь про одну и туже машину и без виртуалок на ней, то

$IPTABLES -P FORWARD DROP

никак не должно влиять. Похоже вы не до конца описали задачу.

anc ★★★★★ ()
Ответ на: комментарий от anc
$IPTABLES -P FORWARD DROP

и так не влияет на регистрацию. Влияет строка

$IPTABLES -P INPUT DROP
А когда я все разрешаю, делая:
$IPTABLES -P INPUT ACCEPT
Тут же происходит регистрация номера.

serega1576 ()
Ответ на: комментарий от beastie

Сорри, не заметил.)) Поменял, но по прежнему:

350***/350***     91.1**.***.22     5060     UNREACHABLE

Что может резать? Дело в том, что даже сам провайдер не разобрался почему не регистрируется. Даже на шлюз им доступ давал...

serega1576 ()
Ответ на: комментарий от serega1576

Давай разберёмся от куда и куда ты пытаешься коннектиться?

Но для начала маленькая памятка по чейнам:

    |             +-----+             |
    |   INPUT --> | rou | --> OUTPUT  |
LAN | FORWARD -------------->         | WAN
    |         <-------------- FORWARD |
    |  OUTPUT <-- | ter | <-- INPUT   |
    |             +-----+             |

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 2)
Ответ на: комментарий от serega1576

Точно, чего это я так ступил? Вроде трезвый был :)

anc ★★★★★ ()
Ответ на: комментарий от serega1576

1. Запустить tcpdump
2. посмотреть какие на какие порты ломимся
3. прописать их с accept
4. профит

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.