URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2780
[ Назад ]

Исходное сообщение
"IPtables - настроить 2 сети"
Отправлено Александр , 27-Июн-06 12:23

День Добрый!
Есть такая ситуация:
Сервер (под SuSe) с двумя интерфейсами:
eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть)
eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)
1. Как сделать так, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один ip 10.28.0.75 (и при этом им были доступны на этом ip _ТОЛЬКО_: web, ftp и 8888 порт) ?
2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.
К сожалению я в этом деле iptables только начал разбираться! Помогите пожалуйста решить данную проблему.

Содержание

IPtables - настроить 2 сети,Slimm, 13:49 , 27-Июн-06
- IPtables - настроить 2 сети,Александр, 21:59 , 27-Июн-06
IPtables - настроить 2 сети,Shum, 03:33 , 28-Июн-06

Сообщения в этом обсуждении

"IPtables - настроить 2 сети"
Отправлено Slimm , 27-Июн-06 13:49

>День Добрый!
>
>Есть такая ситуация:
>
>Сервер (под SuSe) с двумя интерфейсами:
>
>eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть)
>eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)
>
>1. Как сделать так, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один
>ip 10.28.0.75 (и при этом им были доступны на этом ip
>_ТОЛЬКО_: web, ftp и 8888 порт) ?
>
>2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.
>
>К сожалению я в этом деле iptables только начал разбираться! Помогите пожалуйста
>решить данную проблему.
Возникает масса вопросов
А маршрутизация настроена из 192.168.1.0/24 в 10.28.0.0/24 ?
А то мож и париться не надо, чтоб доступ блокировать тем кто сюда никогда не придет ...
Если же настроена, то для 192.168.1.0/24 что 192.168.1.1 что 10.28.0.75 все одно
поэтому конкретизировать правила именно для 10.28.0.75 не стоит
я бы сделал так:
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport www -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport ftp -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport ftp-data -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,ACK,FIN SYN -j REJECT
это что касается сервисов на маршрутизаторе
а чтоб сети виделись в одну сторону используй NAT
iptables -t nat -A POSTROUTING -s 10.28.0.0/24 -j SNAT --to-source 192.168.1.1
Конечно это не единственное решение, но слишком уж мало данных

"IPtables - настроить 2 сети"
Отправлено Александр , 27-Июн-06 21:59

>Возникает масса вопросов
>А маршрутизация настроена из 192.168.1.0/24 в 10.28.0.0/24 ?
>А то мож и париться не надо, чтоб доступ блокировать тем кто
>сюда никогда не придет ...
Сейчас на сервере только IP форвардинг включен. И все, всех в любом направлении видят.

"IPtables - настроить 2 сети"
Отправлено Shum , 28-Июн-06 03:33

>День Добрый!
>
>Есть такая ситуация:
>
>Сервер (под SuSe) с двумя интерфейсами:
>
>eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть)
>eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)
>
>1. Как сделать так, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один
>ip 10.28.0.75 (и при этом им были доступны на этом ip
>_ТОЛЬКО_: web, ftp и 8888 порт) ?
>
>2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.
>
>К сожалению я в этом деле iptables только начал разбираться! Помогите пожалуйста
>решить данную проблему.

Если не разобрался пиши, скину сонфиг, много интересного.