forum.opennet.ru - "Firewalld SNAT" (10)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Firewalld SNAT"

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Firewalld SNAT"	+/–
Сообщение от Mikhail (??) on 15-Июл-16, 23:58
Добрый день, есть цент ос 7, на нем поднят сквид, сервер с двумя инт eth0 в internal зоне и eth1 в паблик зоне. все работает, есть необходимость пробросить от внутренних клиентов порт в мир. при включение макскарадинга на паблик зоне все начинает работать, но натятся все порты можно ли как то это дело ограничить, например разрешить SNATить только 110 порт к примеру? что бы не удалять firewalld и не заменять его iptables?
Ответить \| Правка \| Cообщить модератору

Оглавление

Firewalld SNAT, PavelR, 06:30 , 16-Июл-16, (1)

Firewalld SNAT, Mikhaik, 09:21 , 16-Июл-16, (2)

Firewalld SNAT, Mikhail, 14:45 , 17-Июл-16, (3)

Firewalld SNAT, PavelR, 17:07 , 17-Июл-16, (4)

Firewalld SNAT, Mikhaik, 17:11 , 17-Июл-16, (5)

Firewalld SNAT, PavelR, 19:58 , 17-Июл-16, (6)

Firewalld SNAT, Mikhaik, 20:52 , 17-Июл-16, (7) –1

Firewalld SNAT, PavelR, 06:55 , 18-Июл-16, (10)

Firewalld SNAT, Mikhaik, 08:14 , 18-Июл-16, (12) –1

Firewalld SNAT, PavelR, 14:24 , 18-Июл-16, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "Firewalld SNAT" +/–

Сообщение от PavelR (??) on 16-Июл-16, 06:30

> что бы не удалять firewalld и не заменять его iptables?
JFYI:
1) firewalld это всего лишь обертка над iptables.
2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и в том и в другом случае "не работает", но в первом случае пакеты в мир всё равно летят. Т.о SNAT должен быть полным + фильтр по портам.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Firewalld SNAT" +/–

Сообщение от Mikhaik on 16-Июл-16, 09:21

>> что бы не удалять firewalld и не заменять его iptables?
> JFYI:
> 1) firewalld это всего лишь обертка над iptables.
> 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и
> в том и в другом случае "не работает", но в первом
> случае пакеты в мир всё равно летят. Т.о SNAT должен быть
> полным + фильтр по портам.
Спасибо.
То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр блокирующий все кроме разрешенных портов

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Firewalld SNAT" +/–

Сообщение от Mikhail (??) on 17-Июл-16, 14:45

> Добрый день,
> есть цент ос 7, на нем поднят сквид, сервер с двумя инт
> eth0 в internal зоне и eth1 в паблик зоне.
> все работает, есть необходимость пробросить от внутренних клиентов порт в мир.
> при включение макскарадинга на паблик зоне все начинает работать, но натятся все
> порты
> можно ли как то это дело ограничить, например разрешить SNATить только 110
> порт к примеру?
> что бы не удалять firewalld и не заменять его iptables?
Вроде получилось, вот тут написал как:
http://www.wline.ws/?p=613

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Firewalld SNAT" +/–

Сообщение от PavelR (??) on 17-Июл-16, 17:07

>[оверквотинг удален]
>> есть цент ос 7, на нем поднят сквид, сервер с двумя инт
>> eth0 в internal зоне и eth1 в паблик зоне.
>> все работает, есть необходимость пробросить от внутренних клиентов порт в мир.
>> при включение макскарадинга на паблик зоне все начинает работать, но натятся все
>> порты
>> можно ли как то это дело ограничить, например разрешить SNATить только 110
>> порт к примеру?
>> что бы не удалять firewalld и не заменять его iptables?
> Вроде получилось, вот тут написал как:
> http://www.wline.ws/?p=613
а зачем тогда спрашивал, как делать, если сделал "так"?

Столько шума в мировую сеть летит из за таких "конфигураторов".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Firewalld SNAT" +/–

Сообщение от Mikhaik on 17-Июл-16, 17:11

>[оверквотинг удален]
>>> все работает, есть необходимость пробросить от внутренних клиентов порт в мир.
>>> при включение макскарадинга на паблик зоне все начинает работать, но натятся все
>>> порты
>>> можно ли как то это дело ограничить, например разрешить SNATить только 110
>>> порт к примеру?
>>> что бы не удалять firewalld и не заменять его iptables?
>> Вроде получилось, вот тут написал как:
>> http://www.wline.ws/?p=613
> а зачем тогда спрашивал, как делать, если сделал "так"?
> Столько шума в мировую сеть летит из за таких "конфигураторов".
Че не так?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Firewalld SNAT" +/–

Сообщение от PavelR (??) on 17-Июл-16, 19:58

>>> Вроде получилось, вот тут написал как:
>>> http://www.wline.ws/?p=613
>> а зачем тогда спрашивал, как делать, если сделал "так"?
>> Столько шума в мировую сеть летит из за таких "конфигураторов".
> Че не так?
Цитирую:
2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и в том и в другом случае "не работает", но в первом случае пакеты в мир всё равно летят. Т.о SNAT должен быть полным + фильтр по портам.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Firewalld SNAT" –1 +/–

Сообщение от Mikhaik on 17-Июл-16, 20:52

>>>> Вроде получилось, вот тут написал как:
>>>> http://www.wline.ws/?p=613
>>> а зачем тогда спрашивал, как делать, если сделал "так"?
>>> Столько шума в мировую сеть летит из за таких "конфигураторов".
>> Че не так?
> Цитирую:
> 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и
> в том и в другом случае "не работает", но в первом
> случае пакеты в мир всё равно летят. Т.о SNAT должен быть
> полным + фильтр по портам.
А вы следите за пакетами уходящими в интернет, что это они вас так беспокоят?
Они и должны лететь если есть клиенты требующие доступа по не http_access
И вообще почему на ты, я с вами рюмку водки на брудершафт не пил.
Хотели бы помочь написали бы более конструктивно, а не лезли сюда со своими недокоментами.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Firewalld SNAT" +/–

Сообщение от PavelR (??) on 18-Июл-16, 06:55

>[оверквотинг удален]
>> случае пакеты в мир всё равно летят. Т.о SNAT должен быть
>> полным + фильтр по портам.
>  А вы следите за пакетами уходящими в интернет, что это они
> вас так беспокоят?
>  Они и должны лететь если есть клиенты требующие доступа по не
> http_access
> И вообще почему на ты, я с вами рюмку водки на брудершафт
> не пил.
> Хотели бы помочь написали бы более конструктивно, а не лезли сюда со
> своими недокоментами.
Полные решения "под ключ" (а) стоят денег, а их достаточно простые варианты  в большинстве своем (б) расписаны в интернетах (нужно только погуглить) и (в) в различной документации к программным продуктам (нужно когда-нибудь открыть и почитать её).
С какого фига кто-то Вам обязан разжевывать детально, если Вы не способны к минимальным движениям мышкой в браузере и к минимальному анализу того, что уже написано?
Я сильно сомневаюсь, что если бы я расписал Вам подробнее, Вы бы применили мои советы.
Это подтверждается написанным в комментариях http://www.opennet.me/openforum/vsluhforumID1/96617.html#1 (#1) и http://www.opennet.me/openforum/vsluhforumID1/96617.html#2 (#2) :
>Спасибо.
>То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр
>блокирующий все кроме разрешенных портов
В результате вы всё-равно сделали "фильтрацию" (в кавычках, т.к. её фактически нет) через отсутствие SNAT.  А что, не "пучкает же" - Вам этого достаточно, а почему это так и как это _действительно_ работает - Вам глубоко пох, как и большинству не слушающих советы и нежелающих разбираться.
Что поделать, таков современный человек.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Firewalld SNAT" –1 +/–

Сообщение от Mikhaik on 18-Июл-16, 08:14

>[оверквотинг удален]
> (#1) и http://www.opennet.me/openforum/vsluhforumID1/96617.html#2 (#2) :
>>Спасибо.
>>То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр
>>блокирующий все кроме разрешенных портов
> В результате вы всё-равно сделали "фильтрацию" (в кавычках, т.к. её фактически нет)
> через отсутствие SNAT.  А что, не "пучкает же" - Вам
> этого достаточно, а почему это так и как это _действительно_ работает
> - Вам глубоко пох, как и большинству не слушающих советы и
> нежелающих разбираться.
> Что поделать, таков современный человек.
С файрволлд я не знаком и не найдя в интернетах того чего искал решил обратится сюда. В итоге встретился с таким негативом, а пришел на форум надеясь что тут помогут и не будут ходить вокруг да около тем более того что просил уместится в пару строках, да и тут я готового решения не искал вовсе.
Я посмотрю еще что я сделал не правильно, но наверное уже без советов на этом форуме. В любом случае спасибо за то что хоть какое внимание уделили.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Firewalld SNAT" +/–

Сообщение от PavelR (??) on 18-Июл-16, 14:24

> С файрволлд я не знаком и не найдя в интернетах того чего
> искал решил обратится сюда.
Я вот например с firewalld не знаком и знакомиться не планирую. Зачем изучать прослойку, если знаешь как пользоваться iptables напрямую?
> В итоге встретился с таким негативом, ...
Как же вам жить-то тяжело, а. Не вижу в первых 6 комментариях никакого негатива.
А вот в 7-м комментарии у вас проявились какие-то психологические проблемы, вот только не надо перевешивать их на собеседников, Вы в этом неправы.
> пришел на форум надеясь что тут помогут и не будут ходить
> вокруг да около тем более того что просил уместится в пару
> строках, да и тут я готового решения не искал вовсе.
Странный Вы.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Firewalld SNAT"	+/–
Сообщение от PavelR (??) on 16-Июл-16, 06:30
> что бы не удалять firewalld и не заменять его iptables? JFYI: 1) firewalld это всего лишь обертка над iptables. 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и в том и в другом случае "не работает", но в первом случае пакеты в мир всё равно летят. Т.о SNAT должен быть полным + фильтр по портам.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Firewalld SNAT"	+/–
	Сообщение от Mikhaik on 16-Июл-16, 09:21
	>> что бы не удалять firewalld и не заменять его iptables? > JFYI: > 1) firewalld это всего лишь обертка над iptables. > 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и > в том и в другом случае "не работает", но в первом > случае пакеты в мир всё равно летят. Т.о SNAT должен быть > полным + фильтр по портам. Спасибо. То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр блокирующий все кроме разрешенных портов
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Firewalld SNAT"	+/–
Сообщение от Mikhail (??) on 17-Июл-16, 14:45
> Добрый день, > есть цент ос 7, на нем поднят сквид, сервер с двумя инт > eth0 в internal зоне и eth1 в паблик зоне. > все работает, есть необходимость пробросить от внутренних клиентов порт в мир. > при включение макскарадинга на паблик зоне все начинает работать, но натятся все > порты > можно ли как то это дело ограничить, например разрешить SNATить только 110 > порт к примеру? > что бы не удалять firewalld и не заменять его iptables? Вроде получилось, вот тут написал как: http://www.wline.ws/?p=613
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Firewalld SNAT"	+/–
	Сообщение от PavelR (??) on 17-Июл-16, 17:07
	>[оверквотинг удален] >> есть цент ос 7, на нем поднят сквид, сервер с двумя инт >> eth0 в internal зоне и eth1 в паблик зоне. >> все работает, есть необходимость пробросить от внутренних клиентов порт в мир. >> при включение макскарадинга на паблик зоне все начинает работать, но натятся все >> порты >> можно ли как то это дело ограничить, например разрешить SNATить только 110 >> порт к примеру? >> что бы не удалять firewalld и не заменять его iptables? > Вроде получилось, вот тут написал как: > http://www.wline.ws/?p=613 а зачем тогда спрашивал, как делать, если сделал "так"? Столько шума в мировую сеть летит из за таких "конфигураторов".
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Firewalld SNAT"	+/–
	Сообщение от Mikhaik on 17-Июл-16, 17:11
	>[оверквотинг удален] >>> все работает, есть необходимость пробросить от внутренних клиентов порт в мир. >>> при включение макскарадинга на паблик зоне все начинает работать, но натятся все >>> порты >>> можно ли как то это дело ограничить, например разрешить SNATить только 110 >>> порт к примеру? >>> что бы не удалять firewalld и не заменять его iptables? >> Вроде получилось, вот тут написал как: >> http://www.wline.ws/?p=613 > а зачем тогда спрашивал, как делать, если сделал "так"? > Столько шума в мировую сеть летит из за таких "конфигураторов". Че не так?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Firewalld SNAT"	+/–
	Сообщение от PavelR (??) on 17-Июл-16, 19:58
	>>> Вроде получилось, вот тут написал как: >>> http://www.wline.ws/?p=613 >> а зачем тогда спрашивал, как делать, если сделал "так"? >> Столько шума в мировую сеть летит из за таких "конфигураторов". > Че не так? Цитирую: 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и в том и в другом случае "не работает", но в первом случае пакеты в мир всё равно летят. Т.о SNAT должен быть полным + фильтр по портам.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Firewalld SNAT"	–1 +/–
	Сообщение от Mikhaik on 17-Июл-16, 20:52
	>>>> Вроде получилось, вот тут написал как: >>>> http://www.wline.ws/?p=613 >>> а зачем тогда спрашивал, как делать, если сделал "так"? >>> Столько шума в мировую сеть летит из за таких "конфигураторов". >> Че не так? > Цитирую: > 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и > в том и в другом случае "не работает", но в первом > случае пакеты в мир всё равно летят. Т.о SNAT должен быть > полным + фильтр по портам. А вы следите за пакетами уходящими в интернет, что это они вас так беспокоят? Они и должны лететь если есть клиенты требующие доступа по не http_access И вообще почему на ты, я с вами рюмку водки на брудершафт не пил. Хотели бы помочь написали бы более конструктивно, а не лезли сюда со своими недокоментами.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Firewalld SNAT"	+/–
	Сообщение от PavelR (??) on 18-Июл-16, 06:55
	>[оверквотинг удален] >> случае пакеты в мир всё равно летят. Т.о SNAT должен быть >> полным + фильтр по портам. > А вы следите за пакетами уходящими в интернет, что это они > вас так беспокоят? > Они и должны лететь если есть клиенты требующие доступа по не > http_access > И вообще почему на ты, я с вами рюмку водки на брудершафт > не пил. > Хотели бы помочь написали бы более конструктивно, а не лезли сюда со > своими недокоментами. Полные решения "под ключ" (а) стоят денег, а их достаточно простые варианты в большинстве своем (б) расписаны в интернетах (нужно только погуглить) и (в) в различной документации к программным продуктам (нужно когда-нибудь открыть и почитать её). С какого фига кто-то Вам обязан разжевывать детально, если Вы не способны к минимальным движениям мышкой в браузере и к минимальному анализу того, что уже написано? Я сильно сомневаюсь, что если бы я расписал Вам подробнее, Вы бы применили мои советы. Это подтверждается написанным в комментариях http://www.opennet.me/openforum/vsluhforumID1/96617.html#1 (#1) и http://www.opennet.me/openforum/vsluhforumID1/96617.html#2 (#2) : >Спасибо. >То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр >блокирующий все кроме разрешенных портов В результате вы всё-равно сделали "фильтрацию" (в кавычках, т.к. её фактически нет) через отсутствие SNAT. А что, не "пучкает же" - Вам этого достаточно, а почему это так и как это _действительно_ работает - Вам глубоко пох, как и большинству не слушающих советы и нежелающих разбираться. Что поделать, таков современный человек.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	12. "Firewalld SNAT"	–1 +/–
	Сообщение от Mikhaik on 18-Июл-16, 08:14
	>[оверквотинг удален] > (#1) и http://www.opennet.me/openforum/vsluhforumID1/96617.html#2 (#2) : >>Спасибо. >>То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр >>блокирующий все кроме разрешенных портов > В результате вы всё-равно сделали "фильтрацию" (в кавычках, т.к. её фактически нет) > через отсутствие SNAT. А что, не "пучкает же" - Вам > этого достаточно, а почему это так и как это _действительно_ работает > - Вам глубоко пох, как и большинству не слушающих советы и > нежелающих разбираться. > Что поделать, таков современный человек. С файрволлд я не знаком и не найдя в интернетах того чего искал решил обратится сюда. В итоге встретился с таким негативом, а пришел на форум надеясь что тут помогут и не будут ходить вокруг да около тем более того что просил уместится в пару строках, да и тут я готового решения не искал вовсе. Я посмотрю еще что я сделал не правильно, но наверное уже без советов на этом форуме. В любом случае спасибо за то что хоть какое внимание уделили.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Firewalld SNAT"	+/–
	Сообщение от PavelR (??) on 18-Июл-16, 14:24
	> С файрволлд я не знаком и не найдя в интернетах того чего > искал решил обратится сюда. Я вот например с firewalld не знаком и знакомиться не планирую. Зачем изучать прослойку, если знаешь как пользоваться iptables напрямую? > В итоге встретился с таким негативом, ... Как же вам жить-то тяжело, а. Не вижу в первых 6 комментариях никакого негатива. А вот в 7-м комментарии у вас проявились какие-то психологические проблемы, вот только не надо перевешивать их на собеседников, Вы в этом неправы. > пришел на форум надеясь что тут помогут и не будут ходить > вокруг да около тем более того что просил уместится в пару > строках, да и тут я готового решения не искал вовсе. Странный Вы.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору