URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1470
[ Назад ]

Исходное сообщение
"iptables, 4 интерфейса"
Отправлено Andrey , 06-Июл-04 08:51

Здравствуйте!
Есть сервак, к нему подключена локалка eth0 192.168.0.0/24. Есть два канала от разных провайдеров, первый - eth1 172.20.2.x, второй - eth2 10.10.0.x. Ко второму прову я подключаюсь по pppoe, мне выдается реальный адрес и появляется интерфейс ppp0.
Теперь я настраиваю нат:
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 172.20.2.x
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 80.244.36.x
Все работает. Но я хочу обезопасить себя от внутренней сетки второго провайдера: iptables -A INPUT -s 10.10.0.0/24 -j DROP
Что еще можно добавить, хочется максимальной безопасности.
Хотел по умолчанию все политики поставить DROP, но не получилось составить разрешающие цепочки.
Буду благодарен за любую помощь и дельные советы.

Содержание

iptables, 4 интерфейса,Andrey, 08:53 , 06-Июл-04
- iptables, 4 интерфейса,Arifolth, 12:30 , 26-Июл-04
- iptables, 4 интерфейса,Arifolth, 10:45 , 27-Июл-04
  - iptables, 4 интерфейса,Arifolth, 13:57 , 27-Июл-04

Сообщения в этом обсуждении

"iptables, 4 интерфейса"
Отправлено Andrey , 06-Июл-04 08:53

Кстати на серваке поднять dns, mail (smtp, pop, imap), ftp, www их тоже нужно разрешить.

"iptables, 4 интерфейса"
Отправлено Arifolth , 26-Июл-04 12:30

>Кстати на серваке поднять dns, mail (smtp, pop, imap), ftp, www их
>тоже нужно разрешить.

подробная инфа по iptables =))
http://iptables-tutorial.frozentux.net/

"iptables, 4 интерфейса"
Отправлено Arifolth , 27-Июл-04 10:45

>Кстати на серваке поднять dns, mail (smtp, pop, imap), ftp, www их
>тоже нужно разрешить.
echo 0 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F -t nat
/sbin/iptables -F -t filter
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT
#eth0 - интерфейс который смотрит во внутреннюю сеть 192.168.0.0/24
/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 172.20.2.x
/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 80.244.36.x
/sbin/iptables -A FORWARD -i eth1 -p TCP -m state --state RELATED,ESTABLISHED -d 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i ppp0 -p TCP -m state --state RELATED,ESTABLISHED -d 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -p UDP -m state --state ESTABLISHED -d 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i ppp0 -p UDP -m state --state ESTABLISHED -d 192.168.0.0/24 -j ACCEPT
#если предположить что smtp,dns и всё прочее находиться на серваке во #внутренней сети то доступ снаружи моно получить так(запрос должен идти на ip/port файервола - оттуда форвардиться на внутренний сервак):
/sbin/iptables -t nat -A PREROUTING -p TCP -i eth1 --dport [*ПОРТ*] -d 172.20.2.x -j DNAT --to-destination 192.168.251.200:[*ПОРТ*]
/sbin/iptables -t nat -A PREROUTING -p UDP -i ppp0 --dport 53 -d 80.244.36.x -j DNAT --to-destination 192.168.251.200:53
#192.168.251.200 - сервак в локалке
#вообщем это примерно так должно выглядеть, хотя я мог где то и накосячить #немного =)

"iptables, 4 интерфейса"
Отправлено Arifolth , 27-Июл-04 13:57

.
.
.
>#вообщем это примерно так должно выглядеть, хотя я мог где то и
>накосячить #немного =)
#и ещё
echo 1 > /proc/sys/net/ipv4/ip_forward
#а то форвардинг работать не будет