forum.opennet.ru

Составление сообщения

Исходное сообщение

"оцените правила iptables"
Отправлено izvorot, 02-Июл-08 10:42

>>насколько понимаю мне необходимо выставить чтобы соединение было разрешено только из локалки
>>в мир??из мира должны идти только эстаблишед пакеты?
>да. а для DMZ в сторону web-сервера.
сделал
>>443 если не ошибаюсь это ssl? наверное тут таки Вы правы-сайт будет
>>самый простой-там ssl
>>не понадобится.
>я имел ввиду почему порт 443 значится как порт назначения, хотя направление
>от web в мир.
убрал вообще 443.
>>хм..если я не открою на шлюзе 110-то как пойдет почта?почтовик,он же ДНС-находится
>>в локалке
>если ДНС и почтовик в локалке значит через FORWARD, а не через INPUT
будьте добры напишите как это должно выглядеть?
>>>># web-сервер
>>>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
>>>>192.168.1.3:80
>>Мне проще на iptables завернуть(если получится)
>дело вкуса, только при такой последовательности правил и при таком виде самого
>правила вы завернете и все запросы из локалки в мир к
>себе на web
я заверну все запросы с 80 порта?я рассчитываю так-все запросы в мир идут через прокси-а в самом браузере поставлю чтобы на сайт который крутится у меня лезли без прокси-в результате чего их прокинет на 80 порт веб-сервера.рассчет верен?
>[оверквотинг удален]
>>>>SNAT --to-source eth1
>>>если на web-сервере шлюзом прописан адрес eth2 и он в отдельной подсети,
>>>то помоему это лишнее и в логах web-сервера все обращения будут
>>>от лица шлюза. Тут и ниже eth1..2 должны были быть переменными?
>>уточните пожалуйста-по поводу переменных(я скорее всего просто не досмотрел и вместо -i
>>поставил -d)
>если я не отстал от жизни , то в --to-source интерфейс не
>указывается.
>для простоты редактирования скрипта, в случай изменения адресов, вместо конкретных >адресов, лучше
>использовать переменные, только читабельные :)
заменил интерфейсы на адреса
>>>># "Заварачиваем" весь http трафик на squid.
>>>>#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m
>>>>multiport --dport #80,8080 -j REDIRECT --to-ports 3128
>>>это лучше поднять выше, что бы было первым в -t nat -A
>>>PREROUTING
>>подниму-над каким правилом лучше?
>по мне так самым первым для NAT
поднял

Исходное сообщение
"оцените правила iptables" Отправлено izvorot, 02-Июл-08 10:42
>>насколько понимаю мне необходимо выставить чтобы соединение было разрешено только из локалки >>в мир??из мира должны идти только эстаблишед пакеты? >да. а для DMZ в сторону web-сервера. сделал >>443 если не ошибаюсь это ssl? наверное тут таки Вы правы-сайт будет >>самый простой-там ssl >>не понадобится. >я имел ввиду почему порт 443 значится как порт назначения, хотя направление >от web в мир. убрал вообще 443. >>хм..если я не открою на шлюзе 110-то как пойдет почта?почтовик,он же ДНС-находится >>в локалке >если ДНС и почтовик в локалке значит через FORWARD, а не через INPUT будьте добры напишите как это должно выглядеть? >>>># web-сервер >>>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination >>>>192.168.1.3:80 >>Мне проще на iptables завернуть(если получится) >дело вкуса, только при такой последовательности правил и при таком виде самого >правила вы завернете и все запросы из локалки в мир к >себе на web я заверну все запросы с 80 порта?я рассчитываю так-все запросы в мир идут через прокси-а в самом браузере поставлю чтобы на сайт который крутится у меня лезли без прокси-в результате чего их прокинет на 80 порт веб-сервера.рассчет верен? >[оверквотинг удален] >>>>SNAT --to-source eth1 >>>если на web-сервере шлюзом прописан адрес eth2 и он в отдельной подсети, >>>то помоему это лишнее и в логах web-сервера все обращения будут >>>от лица шлюза. Тут и ниже eth1..2 должны были быть переменными? >>уточните пожалуйста-по поводу переменных(я скорее всего просто не досмотрел и вместо -i >>поставил -d) >если я не отстал от жизни , то в --to-source интерфейс не >указывается. >для простоты редактирования скрипта, в случай изменения адресов, вместо конкретных >адресов, лучше >использовать переменные, только читабельные :) заменил интерфейсы на адреса >>>># "Заварачиваем" весь http трафик на squid. >>>>#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m >>>>multiport --dport #80,8080 -j REDIRECT --to-ports 3128 >>>это лучше поднять выше, что бы было первым в -t nat -A >>>PREROUTING >>подниму-над каким правилом лучше? >по мне так самым первым для NAT поднял

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>>насколько понимаю мне необходимо выставить чтобы соединение было разрешено только из локалки 
>>>в мир??из мира должны идти только эстаблишед пакеты?
>>да. а для DMZ в сторону web-сервера.

> сделал

>>>443 если не ошибаюсь это ssl? наверное тут таки Вы правы-сайт будет 
>>>самый простой-там ssl 
>>>не понадобится.
>>я имел ввиду почему порт 443 значится как порт назначения, хотя направление 
>>от web в мир.

> убрал вообще 443.

>>>хм..если я не открою на шлюзе 110-то как пойдет почта?почтовик,он же ДНС-находится 
>>>в локалке 
>>если ДНС и почтовик в локалке значит через FORWARD, а не через INPUT

> будьте добры напишите как это должно выглядеть?

>>>>># web-сервер 
>>>>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 
>>>>>192.168.1.3:80 
>>>Мне проще на iptables завернуть(если получится) 
>>дело вкуса, только при такой последовательности правил и при таком виде самого 
>>правила вы завернете и все запросы из локалки в мир к 
>>себе на web

> я заверну все запросы с 80 порта?я рассчитываю так-все запросы в мир 
> идут через прокси-а в самом браузере поставлю чтобы на сайт который 
> крутится у меня лезли без прокси-в результате чего их прокинет на 
> 80 порт веб-сервера.рассчет верен?

>>[оверквотинг удален] 
>>>>>SNAT --to-source eth1 
>>>>если на web-сервере шлюзом прописан адрес eth2 и он в отдельной подсети, 
>>>>то помоему это лишнее и в логах web-сервера все обращения будут 
>>>>от лица шлюза. Тут и ниже eth1..2 должны были быть переменными?
>>>уточните пожалуйста-по поводу переменных(я скорее всего просто не досмотрел и вместо -i 
>>>поставил -d) 
>>если я не отстал от жизни , то в --to-source интерфейс не 
>>указывается.
>>для простоты редактирования скрипта, в случай изменения адресов, вместо конкретных >адресов, лучше 
>>использовать переменные, только читабельные :)

> заменил интерфейсы на адреса

>>>>># "Заварачиваем" весь http трафик на squid.
>>>>>#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m 
>>>>>multiport --dport #80,8080 -j REDIRECT --to-ports 3128 
>>>>это лучше поднять выше, что бы было первым в -t nat -A 
>>>>PREROUTING 
>>>подниму-над каким правилом лучше?
>>по мне так самым первым для NAT

> поднял

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру