The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"помогите настроить iptables"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"помогите настроить iptables"
Сообщение от MeLLowD Искать по авторуВ закладки on 21-Ноя-02, 17:13  (MSK)
Уважаемые гуру, помогите настроить iptables. Имеется линукс бокс работающий в качестве прокси. На нем висит апач, бинд на внутренний интерфейс. Нужно дать доступ к хттп с определенного внешнего IP.
C iptables я еще не очень дружу, делаю так:
iptables -A FORWARD -p tcp -s xx.xx.xx.xx -d 10.0.0.1 -j ACCEPT
iptables -A PREROUTING -t nat -i eth1 -p tcp -s xx.xx.xx.xx --dport 80 -j DNAT --to 10.0.0.1:80
а получается что на хттп могут ходить все
подскажите где ошибка?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: помогите настроить iptables"
Сообщение от linuxadmin emailИскать по авторуВ закладки on 21-Ноя-02, 17:42  (MSK)
>Уважаемые гуру, помогите настроить iptables. Имеется линукс бокс работающий в качестве прокси.
>На нем висит апач, бинд на внутренний интерфейс. Нужно дать доступ
>к хттп с определенного внешнего IP.
>C iptables я еще не очень дружу, делаю так:
>iptables -A FORWARD -p tcp -s xx.xx.xx.xx -d 10.0.0.1 -j ACCEPT
>iptables -A PREROUTING -t nat -i eth1 -p tcp -s xx.xx.xx.xx --dport
>80 -j DNAT --to 10.0.0.1:80
>а получается что на хттп могут ходить все
>подскажите где ошибка?


Повесь апач еще и на внешний интерфейс и сделай так:
iptables -A INPUT -i eth1 -d xx.xx.xx.xx -p tcp --dport 80 -j DROP
iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -p tcp --sport 80 -j DROP
iptables -A INPUT -i eth1 -s yy.yy.yy.yy -d xx.xx.xx.xx --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -d yy.yy.yy.yy --sport 80 -j ACCEPT

xx.xx.xx.xx - твой внешний адрес
yy.yy.yy.yy - адрес для которого даешь доступ
eth1 - твоя внешняя карта

Хотя лучше все же поставить апач на другую машину во внутреннюю сеть и потом сделать форвардинг на него.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру