Уважаемые гуру, помогите настроить iptables. Имеется линукс бокс работающий в качестве прокси. На нем висит апач, бинд на внутренний интерфейс. Нужно дать доступ к хттп с определенного внешнего IP.
C iptables я еще не очень дружу, делаю так:
iptables -A FORWARD -p tcp -s xx.xx.xx.xx -d 10.0.0.1 -j ACCEPT
iptables -A PREROUTING -t nat -i eth1 -p tcp -s xx.xx.xx.xx --dport 80 -j DNAT --to 10.0.0.1:80
а получается что на хттп могут ходить все
подскажите где ошибка?
>Уважаемые гуру, помогите настроить iptables. Имеется линукс бокс работающий в качестве прокси.
>На нем висит апач, бинд на внутренний интерфейс. Нужно дать доступ
>к хттп с определенного внешнего IP.
>C iptables я еще не очень дружу, делаю так:
>iptables -A FORWARD -p tcp -s xx.xx.xx.xx -d 10.0.0.1 -j ACCEPT
>iptables -A PREROUTING -t nat -i eth1 -p tcp -s xx.xx.xx.xx --dport
>80 -j DNAT --to 10.0.0.1:80
>а получается что на хттп могут ходить все
>подскажите где ошибка?
Повесь апач еще и на внешний интерфейс и сделай так:
iptables -A INPUT -i eth1 -d xx.xx.xx.xx -p tcp --dport 80 -j DROP
iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -p tcp --sport 80 -j DROP
iptables -A INPUT -i eth1 -s yy.yy.yy.yy -d xx.xx.xx.xx --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -s xx.xx.xx.xx -d yy.yy.yy.yy --sport 80 -j ACCEPTxx.xx.xx.xx - твой внешний адрес
yy.yy.yy.yy - адрес для которого даешь доступ
eth1 - твоя внешняя картаХотя лучше все же поставить апач на другую машину во внутреннюю сеть и потом сделать форвардинг на него.