>>насколько понимаю мне необходимо выставить чтобы соединение было разрешено только из локалки
>>в мир??из мира должны идти только эстаблишед пакеты?
>да. а для DMZ в сторону web-сервера. сделал
>>443 если не ошибаюсь это ssl? наверное тут таки Вы правы-сайт будет
>>самый простой-там ssl
>>не понадобится.
>я имел ввиду почему порт 443 значится как порт назначения, хотя направление
>от web в мир.
убрал вообще 443.
>>хм..если я не открою на шлюзе 110-то как пойдет почта?почтовик,он же ДНС-находится
>>в локалке
>если ДНС и почтовик в локалке значит через FORWARD, а не через INPUT
будьте добры напишите как это должно выглядеть?
>>>># web-сервер
>>>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
>>>>192.168.1.3:80
>>Мне проще на iptables завернуть(если получится)
>дело вкуса, только при такой последовательности правил и при таком виде самого
>правила вы завернете и все запросы из локалки в мир к
>себе на web
я заверну все запросы с 80 порта?я рассчитываю так-все запросы в мир идут через прокси-а в самом браузере поставлю чтобы на сайт который крутится у меня лезли без прокси-в результате чего их прокинет на 80 порт веб-сервера.рассчет верен?
>[оверквотинг удален]
>>>>SNAT --to-source eth1
>>>если на web-сервере шлюзом прописан адрес eth2 и он в отдельной подсети,
>>>то помоему это лишнее и в логах web-сервера все обращения будут
>>>от лица шлюза. Тут и ниже eth1..2 должны были быть переменными?
>>уточните пожалуйста-по поводу переменных(я скорее всего просто не досмотрел и вместо -i
>>поставил -d)
>если я не отстал от жизни , то в --to-source интерфейс не
>указывается.
>для простоты редактирования скрипта, в случай изменения адресов, вместо конкретных >адресов, лучше
>использовать переменные, только читабельные :)
заменил интерфейсы на адреса
>>>># "Заварачиваем" весь http трафик на squid.
>>>>#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m
>>>>multiport --dport #80,8080 -j REDIRECT --to-ports 3128
>>>это лучше поднять выше, что бы было первым в -t nat -A
>>>PREROUTING
>>подниму-над каким правилом лучше?
>по мне так самым первым для NAT
поднял