Наши преимущества

Помогите разобраться с iptables ?

F

FastCat

Турист
Credits
0
Хочу при помощи iptables настроить следующее:

Есть сервер (под SuSe Linux) с двумя интерфейсами:

eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть)
eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)

1. Надо, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один ip 10.28.0.75 (и при этом им были доступны на этом ip _ТОЛЬКО_: web, ftp и 8888 порт) ?

2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.

Вот карта сети:
home_lans.jpg


(Кто, куда должен ходить нарисовано соот. цветом)

Всякие man'ы по iptables читал. Но ни}{рена не понял :(
Помогите pls настроить все это дело.
 
/etc/sysconfig/iptables
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 80 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 21 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p udp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -j REJECT

>>2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.
что значит ВИДЕЛИ ?
 
Привет!
Попробуй так:
iptables -A INPUT -p tcp -m tcp -m multiport -s 192.168.1.0/24 -d 10.28.0.75 --dports 20,21,80,8888 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 10.28.0.75 -j DROP
iptables -A FORWARD -p tcp -m tcp -s 192.168.1.0/24 -d 10.28.0.0/24 --syn -j DROP

Данная конфига описывает только tcp трафик. Все остальное для системы открыто. Чтобы понять, чего пускать, чего нет надо более подробно описать задачу.
Проверь, чтобы модуль multiport был загружен (modprobe ipt_multiport), иначе iptables может ругнуться.
FTP будет работать только в passive режиме. Можно подгрузить модуль ip_nat_ftp, чтобы FTP работал корректно. (modprobe ip_nat_ftp)
 
>>что значит ВИДЕЛИ ?
Это значит, что любому пользователю из сети 10.28.0.* должнен быть доступeн любой ip сети 192.168.1.*


>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?
 
FastCat сказал(а):
>>что значит ВИДЕЛИ ?
>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?
Нажмите, чтобы раскрыть...
Что делать с UDP, ICMP? Для этих протоколов нет такого понятия, как ESTABLISH, Поэтому запретить из одно сети в другую в одном направлении невозможно.
 
Думаю, так: :)
iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP
iptables -A FORWARD -p icmp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP
 
Для ответа нужно войти/зарегистрироваться
Верх