LINUX.ORG.RU
ФорумAdmin

NAT,NAT,NAT


0

1

Доброго времени суток, уважаемые линуксовые спецы. Основной моей головной болью на данный момент является настройка файервола. Пользуюсь OpenSuSE 11.2 под KDE. Коллеги после наитупейшего виндос сервера никак не вьеду в форвардинг никсов. как че тут устроено - вьезжаю медленно, но ударными темпами))) Штатный фаервол хоть и хорош, но все таки каждый админ должОн написать своё). Перечитал пол инета, так и не понял откуда нога растет. Да я пока нуб,лол и еще куча всего)) Надеюсь на вашу помощь, ибо форумы придуманы для таких как я.

Знач имею например: eth0 - 192.168.1.2 - inet eth1 - 192.168.0.1 - lan ну скажем клиент 192.168.0.111.

че хочу: 1).открыть например порт 80 на хттп и поп+смтп на 110 и 25 у eth0 - внешняя сетевка (по умолчанию остальные все закрыты).

2). дальше дать инет клиенту чтобы он мог лазить только через эти порты сетевки eth1 в инет и никак больше.

Господа перепробовал целый вагон скриптов, шевелил мозгами, пытался разобраться с бутылкой в помощь. так и не понял)) то все нафиг закрывается. то все открыто лазь где хошь.

Скрипт:

/sbin/depmod -a

/sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ipt_owner /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc

echo «1» > /proc/sys/net/ipv4/ip_forward

$IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t nat -F $IPTABLES -X

Ставлю по умолчанию все закрытым

$IPTABLES -P FORWARD DROP $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP

Открываю порт под прием и отправку на 80,25,110

$IPTABLES -A INPUT -p tcp -d 192.168.1.2 --sport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp -s 192.168.1.2 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -p tcp -d 192.168.1.2 --sport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp -s 192.168.1.2 --dport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -p tcp -d 192.168.1.2 --sport 110 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp -s 192.168.1.2 --dport 110 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

А как дальше клиенту размаскарадить инет? Как это сделать безопаснее всего? ЧТоб клиент и качал и отправлял только через эти порты на сетевке eth0, а все остальное для него было бы закрыто.

Только пожалуйста не надо давать кучу ссылок. Если не трудно напишите простой пример кода че дальше должно быть, дальше я уж сам накручу. Очень надеюсь на помощь. А лучше в асю 370 608 982 с пометкой iptables. Заранее благодарю. Очень буду рад побеседовать

iptables -F FORWARD
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.111 -p tcp -m multiport --dports 25,80,110 -j ACCEPT
iptables -P FORWARD DROP
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.2

nnz ★★★★ ()
Ответ на: комментарий от anton_jugatsu

Канонiчный зюрероутер полностью настраивается Ястом без красноглазия )

power ()

Каждая 5 тема про нат/иптейблс. Неужели никто не может в гугл сходить и прочитать один раз мануал про нетфильтр.

ventilator ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.