Помогите разобраться с iptables ? | BESK.SU - программирование без границ (c) 2025

Помогите разобраться с iptables ?

F

FastCat

Турист
Credits
0
Хочу при помощи iptables настроить следующее:

Есть сервер (под SuSe Linux) с двумя интерфейсами:

eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть)
eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)

1. Надо, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один ip 10.28.0.75 (и при этом им были доступны на этом ip _ТОЛЬКО_: web, ftp и 8888 порт) ?

2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.

Вот карта сети:


(Кто, куда должен ходить нарисовано соот. цветом)

Всякие man'ы по iptables читал. Но ни}{рена не понял :(
Помогите pls настроить все это дело.
 
R

roger2005

Турист
Credits
0
/etc/sysconfig/iptables
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 80 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 21 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p udp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -j REJECT

>>2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.
что значит ВИДЕЛИ ?
 
enyuri

enyuri

Турист
Credits
0
Привет!
Попробуй так:
iptables -A INPUT -p tcp -m tcp -m multiport -s 192.168.1.0/24 -d 10.28.0.75 --dports 20,21,80,8888 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 10.28.0.75 -j DROP
iptables -A FORWARD -p tcp -m tcp -s 192.168.1.0/24 -d 10.28.0.0/24 --syn -j DROP

Данная конфига описывает только tcp трафик. Все остальное для системы открыто. Чтобы понять, чего пускать, чего нет надо более подробно описать задачу.
Проверь, чтобы модуль multiport был загружен (modprobe ipt_multiport), иначе iptables может ругнуться.
FTP будет работать только в passive режиме. Можно подгрузить модуль ip_nat_ftp, чтобы FTP работал корректно. (modprobe ip_nat_ftp)
 
F

FastCat

Турист
Credits
0
>>что значит ВИДЕЛИ ?
Это значит, что любому пользователю из сети 10.28.0.* должнен быть доступeн любой ip сети 192.168.1.*


>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?
 
enyuri

enyuri

Турист
Credits
0
FastCat написал(а):
>>что значит ВИДЕЛИ ?
>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?
Нажмите для раскрытия...
Что делать с UDP, ICMP? Для этих протоколов нет такого понятия, как ESTABLISH, Поэтому запретить из одно сети в другую в одном направлении невозможно.
 
enyuri

enyuri

Турист
Credits
0
Думаю, так: :)
iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP
iptables -A FORWARD -p icmp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP
 
Войдите или зарегистрируйтесь для ответа.
Сверху