forum.opennet.ru - "iptables + доступ по IP" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables + доступ по IP"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables + доступ по IP"	+/–
Сообщение от Роман (??) on 27-Сен-12, 13:02
Всем доброго дня! Надо выпустить один комп через iptables, вроде бы сделал все как надо, помимо мануалов, на форумах читал, кажется должно работать, но нифига не пашет, подскажите где ошибка. Форвардинг включен. Конфиг: eth0-внешний интерфейс eth1-внутренний 192.168.0.143 - ip компа # Generated by iptables-save v1.4.8 on Thu Sep 27 12:47:32 2012 filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [6:888] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT -A FORWARD -d 192.168.0.203/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -d 192.168.0.203/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -d 192.168.0.206/32 -i eth0 -o eth1 -p tcp -m tcp --dport 444 -j ACCEPT -A FORWARD -d 192.168.0.206/32 -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Thu Sep 27 12:47:32 2012 # Generated by iptables-save v1.4.8 on Thu Sep 27 12:47:32 2012 nat :PREROUTING ACCEPT [12:764] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -d внешний ip/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.206 -A PREROUTING -d внешний ip/32 -p tcp -m tcp --dport 444 -j DNAT --to-destination 192.168.0.206 -A PREROUTING -d внешний ip/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.203 -A PREROUTING -d внешний ip/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.203 -A POSTROUTING -d 192.168.0.206/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 192.168.0.40 -A POSTROUTING -d 192.168.0.206/32 -p tcp -m tcp --dport 444 -j SNAT --to-source 192.168.0.40 -A POSTROUTING -d 192.168.0.203/32 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.0.40 -A POSTROUTING -d 192.168.0.203/32 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.0.40 -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний ip -A POSTROUTING -o eth0 -j MASQUERADE -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.206 -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 444 -j DNAT --to-destination 192.168.0.206 -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.203 -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.203 COMMIT # Completed on Thu Sep 27 12:47:32 2012
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables + доступ по IP, reader, 13:39 , 27-Сен-12, (1)

iptables + доступ по IP, Роман, 13:46 , 27-Сен-12, (3)

iptables + доступ по IP, PavelR, 13:42 , 27-Сен-12, (2) +1

iptables + доступ по IP, Роман, 13:47 , 27-Сен-12, (4)

iptables + доступ по IP, PavelR, 13:48 , 27-Сен-12, (5)

iptables + доступ по IP, ALex_hha, 19:07 , 27-Сен-12, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables + доступ по IP" +/–

Сообщение от reader (ok) on 27-Сен-12, 13:39

FORWARD от 192.168.0.143 разрешите

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "iptables + доступ по IP" +/–

Сообщение от Роман (??) on 27-Сен-12, 13:46

> FORWARD от 192.168.0.143 разрешите
вот я тормоз! спасибо большое! все заработало!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "iptables + доступ по IP" +1 +/–

Сообщение от PavelR (ok) on 27-Сен-12, 13:42

>[оверквотинг удален]
> -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 443 -j
> DNAT --to-destination 192.168.0.206
> -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 444 -j
> DNAT --to-destination 192.168.0.206
> -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 110 -j
> DNAT --to-destination 192.168.0.203
> -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 25 -j
> DNAT --to-destination 192.168.0.203
> COMMIT
> # Completed on Thu Sep 27 12:47:32 2012
в таблице nat:
-A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний ip
-A POSTROUTING -o eth0 -j MASQUERADE
Оставь только одно правило:
Либо
-A POSTROUTING -o eth0 -j MASQUERADE
либо напиши явно:
-A POSTROUTING -o eth0 -j SNAT --to-source внешний ip

в нате - натим всё (иначе наружу будут лететь пакеты с адресацией локальной сети, т.е. мусор). в таблице filter цепочка FORWARD - разрешаем/запрещаем.
Т.е, как написано выше, надо разрешить для 0.143 IP трафик в filter.FORWARD.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "iptables + доступ по IP" +/–

Сообщение от Роман (??) on 27-Сен-12, 13:47

>[оверквотинг удален]
> -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний ip
> -A POSTROUTING -o eth0 -j MASQUERADE
> Оставь только одно правило:
> Либо
> -A POSTROUTING -o eth0 -j MASQUERADE
> либо напиши явно:
> -A POSTROUTING -o eth0 -j SNAT --to-source внешний ip
> в нате - натим всё (иначе наружу будут лететь пакеты с адресацией
> локальной сети, т.е. мусор). в таблице filter цепочка FORWARD - разрешаем/запрещаем.
> Т.е, как написано выше, надо разрешить для 0.143 IP трафик в filter.FORWARD.
спасибо за совет! исправлю

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "iptables + доступ по IP" +/–

Сообщение от PavelR (ok) on 27-Сен-12, 13:48

>-A POSTROUTING -d 192.168.0.206/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 192.168.0.40
>-A POSTROUTING -d 192.168.0.206/32 -p tcp -m tcp --dport 444 -j SNAT --to-source 192.168.0.40
>-A POSTROUTING -d 192.168.0.203/32 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.0.40
>-A POSTROUTING -d 192.168.0.203/32 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.0.40
Эти правила нужны, только в том случае, если данный маршрутизатор не является шлюзом по-умолчанию для хостов 0.203, 0.206
Побочный эффект от их применения - это то, что почтовый/веб-сервер(?) не увидит адресов реальных клиентов.
Если эти сервера на линуксе - то рекомендую ознакомиться с "линукс и два провайдера" и "проброс портов в локальную сеть для двух провайдеров", в "советах" есть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "iptables + доступ по IP" +/–

Сообщение от ALex_hha (ok) on 27-Сен-12, 19:07

> Если эти сервера на линуксе - то рекомендую ознакомиться с "линукс и
> два провайдера" и "проброс портов в локальную сеть для двух провайдеров",
> в "советах" есть.
Например тут - http://wiki.sys-adm.org.ua/net/smart-dnat

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables + доступ по IP"	+/–
Сообщение от reader (ok) on 27-Сен-12, 13:39
FORWARD от 192.168.0.143 разрешите
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "iptables + доступ по IP"	+/–
	Сообщение от Роман (??) on 27-Сен-12, 13:46
	> FORWARD от 192.168.0.143 разрешите вот я тормоз! спасибо большое! все заработало!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "iptables + доступ по IP"	+1 +/–
Сообщение от PavelR (ok) on 27-Сен-12, 13:42
>[оверквотинг удален] > -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 443 -j > DNAT --to-destination 192.168.0.206 > -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 444 -j > DNAT --to-destination 192.168.0.206 > -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 110 -j > DNAT --to-destination 192.168.0.203 > -A OUTPUT -d внешний ip/32 -p tcp -m tcp --dport 25 -j > DNAT --to-destination 192.168.0.203 > COMMIT > # Completed on Thu Sep 27 12:47:32 2012 в таблице nat: -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний ip -A POSTROUTING -o eth0 -j MASQUERADE Оставь только одно правило: Либо -A POSTROUTING -o eth0 -j MASQUERADE либо напиши явно: -A POSTROUTING -o eth0 -j SNAT --to-source внешний ip в нате - натим всё (иначе наружу будут лететь пакеты с адресацией локальной сети, т.е. мусор). в таблице filter цепочка FORWARD - разрешаем/запрещаем. Т.е, как написано выше, надо разрешить для 0.143 IP трафик в filter.FORWARD.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "iptables + доступ по IP"	+/–
	Сообщение от Роман (??) on 27-Сен-12, 13:47
	>[оверквотинг удален] > -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний ip > -A POSTROUTING -o eth0 -j MASQUERADE > Оставь только одно правило: > Либо > -A POSTROUTING -o eth0 -j MASQUERADE > либо напиши явно: > -A POSTROUTING -o eth0 -j SNAT --to-source внешний ip > в нате - натим всё (иначе наружу будут лететь пакеты с адресацией > локальной сети, т.е. мусор). в таблице filter цепочка FORWARD - разрешаем/запрещаем. > Т.е, как написано выше, надо разрешить для 0.143 IP трафик в filter.FORWARD. спасибо за совет! исправлю
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

5. "iptables + доступ по IP"	+/–
Сообщение от PavelR (ok) on 27-Сен-12, 13:48
>-A POSTROUTING -d 192.168.0.206/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 192.168.0.40 >-A POSTROUTING -d 192.168.0.206/32 -p tcp -m tcp --dport 444 -j SNAT --to-source 192.168.0.40 >-A POSTROUTING -d 192.168.0.203/32 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.0.40 >-A POSTROUTING -d 192.168.0.203/32 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.0.40 Эти правила нужны, только в том случае, если данный маршрутизатор не является шлюзом по-умолчанию для хостов 0.203, 0.206 Побочный эффект от их применения - это то, что почтовый/веб-сервер(?) не увидит адресов реальных клиентов. Если эти сервера на линуксе - то рекомендую ознакомиться с "линукс и два провайдера" и "проброс портов в локальную сеть для двух провайдеров", в "советах" есть.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "iptables + доступ по IP"	+/–
	Сообщение от ALex_hha (ok) on 27-Сен-12, 19:07
	> Если эти сервера на линуксе - то рекомендую ознакомиться с "линукс и > два провайдера" и "проброс портов в локальную сеть для двух провайдеров", > в "советах" есть. Например тут - http://wiki.sys-adm.org.ua/net/smart-dnat
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору