| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
mirniy
Зарегистрирован: 16.04.2004
Сообщения: 270
|
 Добавлено: Чт Дек 08 2005 08:48 Заголовок сообщения: Нужна Ваша помощь по IPtables! |
 |
|
Доброго времени суток Господа!
Есть у меня прокся на RH9.0
поднят squd и iptables
Возникла необходимость запустить товарища из внешнего мира на комп в локалке т.е. сделать так чтобы конект с ip a.a.a.a на порт 3389 редиректилря на ip из локалки b.b.b.b на этот же порт!
помогите создать правило!
_________________
IT форум |
|
| Вернуться к началу |
|
 |
Sol
Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск
|
| Добавлено: Чт Дек 08 2005 11:03 Заголовок сообщения: |
|
|
-A PREROUTING -p tcp -m tcp -s aaa.aaa.aaa.aaa -i eth1 --dport 3389 -j DNAT --to-destination bbb.bbb.bbb.bbb:3389
ну и соответственно открыть порт 3389
_________________
In My Humble Opinion |
|
| Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004
Сообщения: 270
|
| Добавлено: Пт Дек 09 2005 08:25 Заголовок сообщения: |
|
|
Спасибо за пинок в провильном направлении!
сработало следующее!
| Код: | | iptables -t nat -A PREROUTING -i eth2 -s a.a.a.a --dport 3389 -j DNAT --to b.b.b.b:3389 |
Но возникла еще одна проблемма!
при вот таком сценарии все работает:
| Код: |
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source c.c.c.c
iptables -t nat -A PREROUTING -i eth2 -s a.a.a.a --dport 3389 -j DNAT --to b.b.b.b:3389
echo 1 > /proc/sys/net/ipv4/ip_forward
|
Но как то не безопасно получается
а при:
| Код: |
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth2 -p tcp -s a.a.a.a --dport 3389 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -p all -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A FORWARD -i eth1 -p all -s 192.168.7.x -j ACCEPT
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A FORWARD -i lo -p all -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -s a.a.a.a --dport 3389 -j DNAT --to b.b.b.b:3389
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source c.c.c.c
echo 1 > /proc/sys/net/ipv4/ip_forward
|
форвардить отказывается! 
Соответственно eth0 - смотрит в Интернет
eth1 - в локалку
eth2 - через vpn в другую сеть!
Где я накосячил в о втором сценарии?
_________________
IT форум |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Пт Дек 09 2005 09:25 Заголовок сообщения: |
|
|
| наверное все таки открыть вход и выход на порт 3389 |
|
| Вернуться к началу |
|
|
vvt
Зарегистрирован: 20.05.2004
Сообщения: 686
|
|
| Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004
Сообщения: 270
|
| Добавлено: Пт Дек 09 2005 12:05 Заголовок сообщения: |
|
|
Спасибо всем за помощь!
Наставили дурака на путь истинный!
_________________
IT форум |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Сб Дек 10 2005 17:48 Заголовок сообщения: |
|
|
| mirniy писал(а): | Спасибо всем за помощь!
Наставили дурака на путь истинный! |
ну и поделиться, что же было не правильно? |
|
| Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск
|
| Добавлено: Сб Дек 10 2005 21:16 Заголовок сообщения: |
|
|
по видимому неправильным было отсутствие правила для eth2 по аналогии с:
iptables -A INPUT -i eth1 -p all -j ACCEPT
и я не очень понимаю смысл вот этого правила
iptables -A FORWARD -i lo -p all -j ACCEPT
_________________
In My Humble Opinion |
|
| Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004
Сообщения: 270
|
| Добавлено: Пн Дек 12 2005 17:21 Заголовок сообщения: |
|
|
| Sol писал(а): | по видимому неправильным было отсутствие правила для eth2 по аналогии с:
iptables -A INPUT -i eth1 -p all -j ACCEPT |
оно самое
| Sol писал(а): |
и я не очень понимаю смысл вот этого правила
iptables -A FORWARD -i lo -p all -j ACCEPT |
по замыслу это правило должно в компании с:
iptables -A INPUT -i lo -p all -j ACCEPT
разрешить любые конекты с локальной машины!
_________________
IT форум |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
