Непонятки с правилами и NAT

0

0

---------------
ifconfig eth1:11 192.168.11.250
ifconfig eth1:12 192.168.12.250
ifconfig eth1:13 192.168.13.250
ifconfig eth1:14 192.168.14.250
ifconfig eth1:15 192.168.15.250
iptables -X
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables --append FORWARD -j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "FORWARD"
iptables --append INPUT -j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "INPUT"
iptables --append OUTPUT -j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "OUTPUT"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source 192.168.77.250

iptables -A FORWARD -s 192.168.11.50/32 -j ACCEPT
iptables -A FORWARD -s 192.168.12.10/32 -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -j DROP
iptables -A FORWARD -s 192.168.2.0/24 -j DROP
и так далее для 192.168.X.Y/24 DROP
-----------

типа разрешаю отдельным хостам ходить в инет.....
вроде ограничение по IP работает (точно ли?)
Однако сделать по дефолту FORWARD=DROP
и избавиться от кучи 192.168.X.Y/24 -j DROP не получается....

Ссылка

←	Vexim уязвимость или кривые руки?

Переадача файлов по HTTP

→

Мой моск взорван. Раскажи про топологию своей сети и объясни зачем столько айпишников вешать на интерфейс. Там множество подсетей чтоли?

P.S. а маска какая на интерфейсе eth1 ?

Nao ★★★★★
(14.12.07 08:44:01 MSK)

Можешь для начала попробовать заменить

iptables -A FORWARD -s 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -j DROP
iptables -A FORWARD -s 192.168.2.0/24 -j DROP
....

на

iptables -A FORWARD -s 192.168.0.0/16 -j DROP

если прокатит то добавь цель LOG в конце цепочки и посмотри что там за пакеты такие важные ходят.

Nao ★★★★★
(14.12.07 08:51:12 MSK)

Ссылка

Ну либо куча 192.168.X.Y/24 -j DROP, либо куча "обратных" правил:

iptables -A FORWARD -d 192.168.11.50/32 -j ACCEPT

iptables -A FORWARD -d 192.168.12.10/32 -j ACCEPT

mky ★★★★★
(14.12.07 10:52:37 MSK)

Ответ на: комментарий от mky 14.12.07 10:52:37 MSK

В том и прикол, что с обратными правилами не катит, т.е. сначала по дефолту FORWARD=DROP а потом нужным ACCEPT не проканало....

да, есть несколько фирм, хочется кой-кому их них дать немного инета...

Eugeneus
(14.12.07 12:35:23 MSK) автор топика

Ответ на: комментарий от Nao 14.12.07 08:44:01 MSK

На eth1 маска 255.255.255.0

Eugeneus
(14.12.07 12:36:02 MSK) автор топика

Ответ на: комментарий от Eugeneus 14.12.07 12:36:02 MSK

а почему нельзя сделать политику DROP для FORWARD? 
iptables -P FORWARD DROP 
а потом уже ACCEPT нужных тебе IP.

Reks
(14.12.07 14:48:03 MSK)

Ссылка

Ответ на: комментарий от Eugeneus 14.12.07 12:35:23 MSK

>т.е. сначала по дефолту FORWARD=DROP

Не понял эту фразу, приведите пример, что значит "сначала по дефолту"? По дефолту, ИМХО, это Policy (-P), и она применяется в конце цепочки...

mky ★★★★★
(14.12.07 18:40:01 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Vexim уязвимость или кривые руки?

Admin

Переадача файлов по HTTP

→

Похожие темы