Помогите разобраться с iptables ?

FastCat · Jul 24, 2006

Хочу при помощи iptables настроить следующее:

Есть сервер (под SuSe Linux) с двумя интерфейсами:

eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть)
eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)

1. Надо, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один ip 10.28.0.75 (и при этом им были доступны на этом ip _ТОЛЬКО_: web, ftp и 8888 порт) ?

2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.

Вот карта сети:

(Кто, куда должен ходить нарисовано соот. цветом)

Всякие man'ы по iptables читал. Но ни}{рена не понял

Помогите pls настроить все это дело.

roger2005 · Jul 26, 2006

/etc/sysconfig/iptables
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 80 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 21 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p udp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -j REJECT

>>2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.
что значит ВИДЕЛИ ?

enyuri · Jul 26, 2006

Привет!
Попробуй так:
iptables -A INPUT -p tcp -m tcp -m multiport -s 192.168.1.0/24 -d 10.28.0.75 --dports 20,21,80,8888 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 10.28.0.75 -j DROP
iptables -A FORWARD -p tcp -m tcp -s 192.168.1.0/24 -d 10.28.0.0/24 --syn -j DROP

Данная конфига описывает только tcp трафик. Все остальное для системы открыто. Чтобы понять, чего пускать, чего нет надо более подробно описать задачу.
Проверь, чтобы модуль multiport был загружен (modprobe ipt_multiport), иначе iptables может ругнуться.
FTP будет работать только в passive режиме. Можно подгрузить модуль ip_nat_ftp, чтобы FTP работал корректно. (modprobe ip_nat_ftp)

FastCat · Jul 26, 2006

>>что значит ВИДЕЛИ ?
Это значит, что любому пользователю из сети 10.28.0.* должнен быть доступeн любой ip сети 192.168.1.*

>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?

enyuri · Jul 27, 2006

FastCat said:
>>что значит ВИДЕЛИ ?
>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?

Что делать с UDP, ICMP? Для этих протоколов нет такого понятия, как ESTABLISH, Поэтому запретить из одно сети в другую в одном направлении невозможно.

FastCat · Jul 28, 2006

И как тогда лучше поступить в моей ситуации ?

enyuri · Jul 29, 2006

Думаю, так:

iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP
iptables -A FORWARD -p icmp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP

Помогите разобраться с iptables ?

FastCat

Member

roger2005

New member

enyuri

Member

FastCat

Member

enyuri

Member

FastCat

Member

enyuri

Member