форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables, 4 интерфейса"
Сообщение от Andrey (??) on 06-Июл-04, 08:51  (MSK)
Здравствуйте! Есть сервак, к нему подключена локалка eth0 192.168.0.0/24. Есть два канала от разных провайдеров, первый - eth1 172.20.2.x, второй - eth2 10.10.0.x. Ко второму прову я подключаюсь по pppoe, мне выдается реальный адрес и появляется интерфейс ppp0. Теперь я настраиваю нат: iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 172.20.2.x iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 80.244.36.x Все работает. Но я хочу обезопасить себя от внутренней сетки второго провайдера: iptables -A INPUT -s 10.10.0.0/24 -j DROP Что еще можно добавить, хочется максимальной безопасности. Хотел по умолчанию все политики поставить DROP, но не получилось составить разрешающие цепочки. Буду благодарен за любую помощь и дельные советы.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables, 4 интерфейса"
Сообщение от Andrey (??) on 06-Июл-04, 08:53  (MSK)
Кстати на серваке поднять dns, mail (smtp, pop, imap), ftp, www их тоже нужно разрешить.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "iptables, 4 интерфейса"
	Сообщение от Arifolth (ok) on 26-Июл-04, 12:30  (MSK)
	>Кстати на серваке поднять dns, mail (smtp, pop, imap), ftp, www их >тоже нужно разрешить. подробная инфа по iptables =)) http://iptables-tutorial.frozentux.net/
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "iptables, 4 интерфейса"
	Сообщение от Arifolth (ok) on 27-Июл-04, 10:45  (MSK)
	>Кстати на серваке поднять dns, mail (smtp, pop, imap), ftp, www их >тоже нужно разрешить. echo 0 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -F INPUT /sbin/iptables -F OUTPUT /sbin/iptables -F FORWARD /sbin/iptables -F -t nat /sbin/iptables -F -t filter /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD DROP /sbin/iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT #eth0 - интерфейс который смотрит во внутреннюю сеть 192.168.0.0/24 /sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 172.20.2.x /sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 80.244.36.x /sbin/iptables -A FORWARD -i eth1 -p TCP -m state --state RELATED,ESTABLISHED -d 192.168.0.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i ppp0 -p TCP -m state --state RELATED,ESTABLISHED  -d 192.168.0.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -p UDP -m state --state ESTABLISHED -d 192.168.0.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i ppp0 -p UDP -m state --state ESTABLISHED  -d 192.168.0.0/24 -j ACCEPT #если предположить что smtp,dns и всё прочее находиться на серваке во #внутренней сети то доступ снаружи моно получить так(запрос должен идти на ip/port файервола - оттуда форвардиться на внутренний сервак): /sbin/iptables -t nat -A PREROUTING -p TCP -i eth1 --dport [*ПОРТ*] -d 172.20.2.x -j DNAT --to-destination 192.168.251.200:[*ПОРТ*] /sbin/iptables -t nat -A PREROUTING -p UDP -i ppp0 --dport 53 -d 80.244.36.x -j DNAT --to-destination 192.168.251.200:53 #192.168.251.200 - сервак в локалке #вообщем это примерно так должно выглядеть, хотя я мог где то и накосячить #немного =)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "iptables, 4 интерфейса"
	Сообщение от Arifolth (ok) on 27-Июл-04, 13:57  (MSK)
	. . . >#вообщем это примерно так должно выглядеть, хотя я мог где то и >накосячить #немного =) #и ещё echo 1 > /proc/sys/net/ipv4/ip_forward #а то форвардинг работать не будет
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.