The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
iptables , !*! gerg, 12-Сен-20, 18:34  [смотреть все]
Добрый день!
Есть шлюз с белым IP (1.1.1.1) и две сетки, за ним, с серыми адресами. Провайдер отдал нам еще сеть с белыми адресами 2.2.2.2/28, там будут крутится веб сервера, почтовик, и т.д. К этой сети нужен доступ как из WAN так и из LAN1,2.  На шлюз добавлю еще одну сетевую. Система Centos 7.  

шлюз IP 1.1.1.1
NEW LAN 2.2.2.2/28  (DMZ???)
LAN1 192.168.0.1/24
LAN2 10.10.10.1/24

-->WAN-[gate]---2.2.2.2/28
                  | |
             LAN1 LAN2

Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из локальных сетей и интернета? Или достаточно включенной ip_forward?

Ответить | Сообщить модератору
  • iptables , !*! Licha Morada, 18:54 , 12-Сен-20 (1)
    > Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из
    > локальных сетей и интернета?

    Точно так-же как доступ из LAN1 в LAN2, например.
    -A FORWARD -i DMZ -o WAN -j ACCEPT
    -A FORWARD -i WAN -o DMZ -j ACCEPT
    -A FORWARD -i LAN1 -o DMZ -j ACCEPT
    -A FORWARD -i LAN2 -o DMZ -j ACCEPT

    > Или достаточно включенной ip_forward?

    Если policy в цепи FORWARD стоит в ACCEPT, то да. Но лучше чтоб там было DROP.

    Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом NAT будет применятся и к трафику из DMZ в WAN. Его придётся изменить на "всё что уходит к провайдеру И идёт из LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ И идёт из LAN1 или LAN2, надо NAT-ить".
    -A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
    -A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
    -A POSTROUTING -t nat -o WAN -s 192.168.0.1/24 -j MASQUERADE
    -A POSTROUTING -t nat -o WAN -s 10.10.10.1/24 -j MASQUERADE
    https://tldp.org/HOWTO/html_single/Masquerading-Simple-HOWTO/
    (или SNAT вместо MASQUERADE https://terrywang.net/2016/02/02/new-iptables-gotchas.html )

    Примерно так.

    Ответить | Сообщить модератору
    • iptables , !*! gerg, 14:04 , 13-Сен-20 (2)
      >[оверквотинг удален]
      > чтоб там было DROP.
      > Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас
      > правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом
      > NAT будет применятся и к трафику из DMZ в WAN. Его
      > придётся изменить на "всё что уходит к провайдеру И идёт из
      > LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ
      > И идёт из LAN1 или LAN2, надо NAT-ить".
      > -A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
      > -A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
      > -A POSTROUT

      Большое спасибо за ответ. POLICY действительно стоят DROP на INPUT и ACCEPT на FORWARD и OUTPUT. Доступ к серверу я получу только в пятницу, тогда и попробую.

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру