форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPtables - настроить 2 сети"

Сообщение от Александр (??) on 27-Июн-06, 12:23

День Добрый! Есть такая ситуация: Сервер (под SuSe) с двумя интерфейсами: eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть) eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть) 1. Как сделать так, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один ip 10.28.0.75 (и при этом им были доступны на этом ip _ТОЛЬКО_: web, ftp и 8888 порт) ? 2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_. К сожалению я в этом деле iptables только начал разбираться! Помогите пожалуйста решить данную проблему.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "IPtables - настроить 2 сети"

Сообщение от Slimm (??) on 27-Июн-06, 13:49

>День Добрый! > >Есть такая ситуация: > >Сервер (под SuSe) с двумя интерфейсами: > >eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть) >eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть) > >1. Как сделать так, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один >ip 10.28.0.75 (и при этом им были доступны на этом ip >_ТОЛЬКО_: web, ftp и 8888 порт) ? > >2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_. > >К сожалению я в этом деле iptables только начал разбираться! Помогите пожалуйста >решить данную проблему. Возникает масса вопросов А маршрутизация настроена из 192.168.1.0/24 в 10.28.0.0/24 ? А то мож и париться не надо, чтоб доступ блокировать тем кто сюда никогда не придет ... Если же настроена, то для 192.168.1.0/24 что 192.168.1.1 что 10.28.0.75 все одно поэтому конкретизировать правила именно для 10.28.0.75 не стоит я бы сделал так: iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport www -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport ftp -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport ftp-data -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 8888 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,ACK,FIN SYN -j REJECT это что касается сервисов на маршрутизаторе а чтоб сети виделись в одну сторону используй NAT iptables -t nat -A POSTROUTING -s 10.28.0.0/24 -j SNAT --to-source 192.168.1.1 Конечно это не единственное решение, но слишком уж мало данных

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "IPtables - настроить 2 сети"
	Сообщение от Александр (??) on 27-Июн-06, 21:59
	>Возникает масса вопросов >А маршрутизация настроена из 192.168.1.0/24 в 10.28.0.0/24 ? >А то мож и париться не надо, чтоб доступ блокировать тем кто >сюда никогда не придет ... Сейчас на сервере только IP форвардинг включен. И все, всех в любом направлении видят.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "IPtables - настроить 2 сети"

Сообщение от Shum (??) on 28-Июн-06, 03:33

>День Добрый! > >Есть такая ситуация: > >Сервер (под SuSe) с двумя интерфейсами: > >eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть) >eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть) > >1. Как сделать так, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один >ip 10.28.0.75 (и при этом им были доступны на этом ip >_ТОЛЬКО_: web, ftp и 8888 порт) ? > >2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_. > >К сожалению я в этом деле iptables только начал разбираться! Помогите пожалуйста >решить данную проблему. Если не разобрался пиши, скину сонфиг, много интересного.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]