LINUX.ORG.RU
ФорумAdmin

iptables - DNAT problem


0

0 

Настраиваю раутер Linksys WRT54G.

Есть внутреннй мост br0 с адресом 192.168.1.1 и ppp0 наружу 
(IP дается при дозвоне из пула 80.230.х.х). Внутри есть машина
192.168.1.100 на которой бегут Веб-сервер, DNS для тестов. Надо обеспечить лазание по Интернету изнутри и доступ к сервисам снаружи.
Написал правила, проблема в том, что при таком маскараде в логах сервера вместо адреса клиента - 192.168.1.1 а при другом (-s 192.168.1.0/24 или -o ppp0) - нет доступа к сервисам.
Где копать ?

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp -s ! 192.168.1.0/24 --dport 23 -j DROP
iptables -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.1 --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -j DROP

iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -d 192.168.1.100 -j ACCEPT
iptables -A FORWARD -s 192.168.1.100 -j ACCEPT
iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j DROP

iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 53 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -t nat -i ppp0 -p udp --dport 53 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 443 -j DNAT --to 192.168.1.100

iptables -A POSTROUTING -t nat -j MASQUERADE
anonymous

Ты проксу не хош запустить ?! Чтоб народ через прокси сидел в мире быстрее будет пахать www ! По вопросу лазанья в интернете тебе нужно прописать для твоей подсети INPUTы и OUTPUTы

-A INPUT -s 192.168.1.0/24 -i eth1(твой внутренний Ethernet) -p tcp --dport 80 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -i eth1 -o ppp0 -p tcp --dport 80 -j ACCEPT -A FORWARD -d 192.168.1.0/24 -i ppp0 -o eth1 -p tcp --sport 80 -j ACCEPT -A OUTPUT -d 192.168.1.0/24 -o ppp0 -p tcp --sport 80 -j ACCEPT

На счет сервисов не совсем понял у кого нет доступа ?! У пользователей сети нет доступа к сервисам в мире !?

anonymous
()
Ответ на: комментарий от anonymous 

Прокси не хочу запускать.

Изнутри все работает. Снаружи тоже.
Проблема в том, что из-за маскарада адреса клиентов,
коннектящихся снаружи, заменяются на 192.168.1.1, а при
изменении маскарада - только для внутренних IP, снаружи
нельзя сконнектиться к Веб серверу.

anonymous
()

ДЛЯ ТВОЕГО APACHE -A PREROUTING -d 80.230.0.0/24 -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80 теперь его надо перекинуть -A FORWARD -d 192.168.1.100 -p tcp -m tcp --dport 80 -j ACCEPT Теперь обратный ход с 1.100 -A OUTPUT -o ppp0 -p tcp -m tcp --sport 80 -j ACCEPT Если посмотришь в лог 192.168.1.0 там все будет ОК

Теперь для твоих маскарад -A POSTROUTING -o ppp0 -j SNAT --to-source 80.230.0.0 твои будут прикрыты 80.230.0.0

ну собствено и все

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin