[ новости /+++ | форум | теги | ]

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Ключевые слова: linux, firewall, iptables, nat,  (найти похожие документы)

Date: Sun, 5 Aug 2001 08:51:17 +0000 (UTC)
From: Port22 <port22@kipt.kharkov.ua>
Newsgroups: fido7.ru.linux
Subject: [Linux] NAT через iptables

>   Есть сервер с:
> eth0 - локальная сеть 192.168.0.0
> eth1 - выход в Интернет с реальным IP
> ppp - модемные соединения с локальными IP
>
> используется iptables v1.2.1a
>
> Задача - организовать выход в Инет с локалки и через модемы
>
> Вопросы:
>  - С помощью iptables доступ к сервисам Инет можно организовать через
> маскарадинг или обязательно нужно наличие прокси на сервере для каждого
> сервиса и редирект на него?


Серверов не нужно, настраиваешь только маскарад
iptables  -t nat -A POSTROUTING -s 192.168.0.0/16 --out-interface eth1 -j SNAT  --to-source $REAL_IP

>  - Все ли пакеты можно выловить на сервере, т.е.:
>  например ping c локальной машины (eth0) на сервер вылавливается
>  iptables -t nat -A PREROUTING -p icmp \
>   -s 192.168.0.2 -d 192.168.0.1 -j DROP/ACCEPT
> а на любой другой в сети или Инетовский получается проходит мимо iptables?
> и другие пакеты аналогично?

Таблица NAT (-t nat) служит для изменения адресов (src/dst), для
фильтрации используется таблица filter (-t filter), вот в ней и фильтруй
что хочешь, но смотри, forward пакеты не проходят цепочки INPUT и OUTPUT.

> У кого есть рабочие настройки шлите, не откажусь :-)

iptables -P FORWARD  DROP
iptables -N FFR  2>/dev/null
iptables -F FFR
iptables -A FORWARD -j FFR

# Разрешить доступ к почтовому серверу
iptables -A FFR -p tcp -s y.y.y.1 -d x.x.x.x -m multiport --dports 25,110  -j ACCEPT
......

# *** Все остальное, запретить ***

iptables -A FFR -m limit --limit 5/hour -j LOG --log-level notice
iptables -A FFR -j DROP


Ну и конечно man iptables. :)


Port22

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

1.1, Andrew (?), 08:15, 11/04/2002 [ответить] [﹢﹢﹢] [ · · · ]   +/– iptables  -t nat -A POSTROUTING -s 192.168.0.0/16 --out-interface eth1 -j SNAT  --to-source $REAL_IP это конечно всё работает, но вот почему-то ни одна машина из "левой" сетки не может прочитать содержимое папки ftp. Http и всё остальлное без проблем.  Помогите пожалуйста...   1.2, maycat (?), 19:05, 27/02/2003 [ответить] [﹢﹢﹢] [ · · · ]   +/– включи в ftp пассивный режим, или вставь модуль ip_masq_ftp   1.7, Николай (?), 19:14, 14/05/2003 [ответить] [﹢﹢﹢] [ · · · ]   +/– Подскажите плз. Как сделать чтобы клиенты которые дозваниваются и входят в сеть перенаправлялись на другой прокси. У меня стоит спутникоя система приема а мой прокси по адресу eurobird.planetsky.com. Но многие клиенты не хотят прописывать у сябя прокси и получается что он работает в холостую тоесть они ходят по земле.     2.8, kuguar (?), 16:43, 07/06/2003 [^] [^^] [^^^] [ответить]   +/– проще будет сделать так 1. поднять у себя прокси 2. принудительно клиентов перенаправлять на него 3. нового прокси парентом установить тот, который хочешь   1.9, Андрей (??), 15:56, 01/04/2004 [ответить] [﹢﹢﹢] [ · · · ]   +/– У меня такая ситуация: есть шлюз(Linux ASP 9.0) с радиоэзернетом и локалка. Требовалось не просто дать интернет и почту, но чтоб обязательно статистику по каждому адресу собирать, да и чтоб классы не видили друг друга. Разбил локалку на неск. сеток (для каждой поднял алиасингом интерфейс eth0:1, eth0:2 и т.д.) каждый добавил в рутинг. С помощью iptables и squid(здесь могу собирать статистику) раздал интернет, но почта никак не хотела работать. Нашел в инете эту дискуссию и решил сделать также. Почта все равно не работает :( Если может кто помочь, мыльте на saa_0@mail.ru   1.10, Александр (??), 08:28, 17/06/2004 [ответить] [﹢﹢﹢] [ · · · ]   +/– Моя проблема видимо актуальна - настроил squid для доступа в локальной сети - пока что двух машин... а вот как настроить linux чтобы с этих машин был нормальный выход к внешним почтовым серверам типа mail.ru на порты 25, 110 - да еще бы и на аську.... приведенный выше пример для портов 25,110 при вводе ругнулся....   1.11, modeshson (ok), 12:26, 02/06/2006 [ответить] [﹢﹢﹢] [ · · · ]   +/– я попробовал писать как Port22 ,но не работает мой компютер в ЛАН не может доходить в интернет , пожалуйста обясняйте   1.12, Terteron (?), 19:22, 15/07/2006 [ответить] [﹢﹢﹢] [ · · · ]   +/– Ещё нужно добавить правило iptables -A FFR -m state --state RELATED,ESTABLISHED -j ACCEPT Вообще, man iptables!   1.13, Port22 (?), 19:39, 15/07/2006 [ответить] [﹢﹢﹢] [ · · · ]   +/– Строка с RELATED,ESTABLISHED должна быть перед - # *** Все остальное, запретить ***   1.14, victor (??), 17:53, 31/07/2006 [ответить] [﹢﹢﹢] [ · · · ]   +/– как использовать -m mport -sports n,n+1,n+12  и т.п.   1.15, Application (?), 22:13, 08/05/2010 [ответить] [﹢﹢﹢] [ · · · ]   +/– http://iptables.ru/ вот тут реальный ман, правда читать многовато, зато даж иллюстрации есть) там сразу всё ясно как почту настроить через трансляцию адресов) ;)   игнорирование участников | лог модерирования

Партнёры:

Хостинг: