forum.opennet.ru - "помогите настроить iptables" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"помогите настроить iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"помогите настроить iptables"
Сообщение от MeLLowD on 21-Ноя-02, 17:13 (MSK)
Уважаемые гуру, помогите настроить iptables. Имеется линукс бокс работающий в качестве прокси. На нем висит апач, бинд на внутренний интерфейс. Нужно дать доступ к хттп с определенного внешнего IP. C iptables я еще не очень дружу, делаю так: iptables -A FORWARD -p tcp -s xx.xx.xx.xx -d 10.0.0.1 -j ACCEPT iptables -A PREROUTING -t nat -i eth1 -p tcp -s xx.xx.xx.xx --dport 80 -j DNAT --to 10.0.0.1:80 а получается что на хттп могут ходить все подскажите где ошибка?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: помогите настроить iptables, linuxadmin, 17:42 , 21-Ноя-02, (1)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: помогите настроить iptables"

Сообщение от linuxadmin on 21-Ноя-02, 17:42 (MSK)

>Уважаемые гуру, помогите настроить iptables. Имеется линукс бокс работающий в качестве прокси.
>На нем висит апач, бинд на внутренний интерфейс. Нужно дать доступ
>к хттп с определенного внешнего IP.
>C iptables я еще не очень дружу, делаю так:
>iptables -A FORWARD -p tcp -s xx.xx.xx.xx -d 10.0.0.1 -j ACCEPT
>iptables -A PREROUTING -t nat -i eth1 -p tcp -s xx.xx.xx.xx --dport
>80 -j DNAT --to 10.0.0.1:80
>а получается что на хттп могут ходить все
>подскажите где ошибка?

Повесь апач еще и на внешний интерфейс и сделай так:
iptables -A INPUT -i eth1 -d xx.xx.xx.xx -p tcp --dport 80 -j DROP
iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -p tcp --sport 80 -j DROP
iptables -A INPUT -i eth1 -s yy.yy.yy.yy -d xx.xx.xx.xx --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -d yy.yy.yy.yy --sport 80 -j ACCEPT
xx.xx.xx.xx - твой внешний адрес
yy.yy.yy.yy - адрес для которого даешь доступ
eth1 - твоя внешняя карта
Хотя лучше все же поставить апач на другую машину во внутреннюю сеть и потом сделать форвардинг на него.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: помогите настроить iptables"
Сообщение от linuxadmin on 21-Ноя-02, 17:42 (MSK)
>Уважаемые гуру, помогите настроить iptables. Имеется линукс бокс работающий в качестве прокси. >На нем висит апач, бинд на внутренний интерфейс. Нужно дать доступ >к хттп с определенного внешнего IP. >C iptables я еще не очень дружу, делаю так: >iptables -A FORWARD -p tcp -s xx.xx.xx.xx -d 10.0.0.1 -j ACCEPT >iptables -A PREROUTING -t nat -i eth1 -p tcp -s xx.xx.xx.xx --dport >80 -j DNAT --to 10.0.0.1:80 >а получается что на хттп могут ходить все >подскажите где ошибка? Повесь апач еще и на внешний интерфейс и сделай так: iptables -A INPUT -i eth1 -d xx.xx.xx.xx -p tcp --dport 80 -j DROP iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -p tcp --sport 80 -j DROP iptables -A INPUT -i eth1 -s yy.yy.yy.yy -d xx.xx.xx.xx --dport 80 -j ACCEPT iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -d yy.yy.yy.yy --sport 80 -j ACCEPT xx.xx.xx.xx - твой внешний адрес yy.yy.yy.yy - адрес для которого даешь доступ eth1 - твоя внешняя карта Хотя лучше все же поставить апач на другую машину во внутреннюю сеть и потом сделать форвардинг на него.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх