Здравствуйте!
У меня Gentoo Linux, kernel-2.6.7-rс3
Поставил iptables.
Настроил правила так:iptables -N ports
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPTiptables -A ports -p tcp --destination-port 22 -j ACCEPT
iptables -A ports -p udp --destination-port 22 -j ACCEPTiptables -A ports -p tcp --destination-port 20 -j ACCEPT
iptables -A ports -p udp --destination-port 20 -j ACCEPT
iptables -A ports -p tcp --destination-port 21 -j ACCEPT
iptables -A ports -p udp --destination-port 21 -j ACCEPTiptables -A ports -p tcp --destination-port 53 -j ACCEPT
iptables -A ports -p udp --destination-port 53 -j ACCEPTiptables -A ports -p tcp --destination-port 80 -j ACCEPT
iptables -A ports -p udp --destination-port 80 -j ACCEPTiptables -A ports -p tcp --destination-port 3128 -j ACCEPT
iptables -A ports -p udp --destination-port 3128 -j ACCEPT
iptables -A ports -p tcp --destination-port 110 -j ACCEPT
iptables -A ports -p tcp --destination-port 25 -j ACCEPT
iptables -A ports -p tcp --destination-port 1024: -j ACCEPT
iptables -A ports -p udp --destination-port 1024: -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPTecho 1 > /proc/sys/net/ipv4/conf/all/forwarding
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 --out-interface eth0 -j
SNAT --to-source 212.86.245.42
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
При таком раскладе все работает из моей сети, но из внешнего мира никто не может ко мне зайти ни по ftp ни по http
>
>iptables -P INPUT DROP
Вот и непускает
>
>>
>>iptables -P INPUT DROP
>
>
>Вот и непускает
Согласен, но фишка не в том. Была создана новая цепочка ports но перенаправление на нее не идет. Если добавить правило наподобие:
iptables -A INPUT -j potrs
то все будет ОК.
>Здравствуйте!
>У меня Gentoo Linux, kernel-2.6.7-rс3>При таком раскладе все работает из моей сети, но из внешнего мира
>никто не может ко мне зайти ни по ftp ни по
>httpсоздай правила типа DNAT для проброса соединений извне на сервак во внутренней сети и усё заработает
наверно =)
>>Здравствуйте!
>>У меня Gentoo Linux, kernel-2.6.7-rс3
>
>>При таком раскладе все работает из моей сети, но из внешнего мира
>>никто не может ко мне зайти ни по ftp ни по
>>http
>создай правила типа DNAT для проброса соединений извне на сервак во внутренней
>сети и усё заработает
>наверно =)
Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю из перечисленных правил, сервак там с одной стороны подключен к внутренней сети, а с другой - к провайдеру (с помощью SNAT скрывается структура локальной сети). Как мне кажется, DNAT там не нужен, если только какой-то из открытых сервисов не будет предоставлять локальная машина, а не сервер.
>Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю
>из перечисленных правил, сервак там с одной стороны подключен к внутренней
>сети, а с другой - к провайдеру (с помощью SNAT скрывается
>структура локальной сети). Как мне кажется, DNAT там не нужен, если
>только какой-то из открытых сервисов не будет предоставлять локальная машина, а
>не сервер.я не понимаю в чём проблема =)
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети???пример уже тут на форуме приводил - как DNAT пользовать и не только я
ток что ищитеобщая идея таковаЖ
input/output/forward политики должны быть drop/reject
далее разрешатьследует помнить что:
1) соединения идущие во внутреннюю сеть транзитом (я имею ввиду соединения инициированые извне)через этот комп попадают сперва в цепочку PREROUTING(это к слову о DNAT) затем FORWARD & etc
2)соединения идущие на ЭТУ машину попадают в цепочку INPUT
3)соединения идущие наружу через эту машину проходят FORWARDING затем POSTROUTING
исходя из того что я сказал и нада клепать правила
а в приведённом куске сценария непонятно как что-то попадает в ports
чтоб что-то попало в портс его нада -j ports
<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
^^^^^^^
Если ты не обратил внимание, то именно такое решение я и предложил ;)
<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
^^^^^^^
Если ты не обратил внимание на мое пред предыдущее сообщение, то именно такое решение я и предложил ;)
><skip>
>>исходя из того что я сказал и нада клепать правила
>>а в приведённом куске сценария непонятно как что-то попадает в ports
>>чтоб что-то попало в портс его нада -j ports
>
>
>
> ^^^^^^^
>Если ты не обратил внимание на мое пред предыдущее сообщение, то именно
>такое решение я и предложил ;)ну так я с тобой не спорю =)
ты предложилнепонятно - что автор топика имел ввиду!
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети???
если в сети - DNAT
если на машине - как ты и сказал -j ports=)