forum.opennet.ru

"Настройка iptables"

Форум Открытые системы на сервере
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Настройка iptables"	+/–
Сообщение от reader (ok), 14-Дек-10, 16:23
>[оверквотинг удален] >>>>> для проходящих важны правила FORWARD >>>> Так чтоли? >>>> *********************** >>>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT >>>> *********************** >>> Я там твою схему скурить не могу :) Но логично. В обратную >>> сторону пакеты тож должны будут ходить, глянь как они у тебя >>> пропустятся. >> если 192.168.2.2 за eth2, то не логично. > а как надо? если пакет идет от 101.10.10.* , входит через eth1 а уйти должен через eth2, то -A FORWARD -o eth2 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT по поводу маршрутов, если 192.168.2.* могут общаться с 101.10.10.* и nat на eth1 вы не делали, то там уже все есть а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не понятно, но если 101.10.10.* за eth2, тогда другое дело.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Настройка iptables, alex320388, 14-Дек-10, 15:05 [смотреть все]

Подумать на это и спокойно разобраться -A FORWARD -o eth2 -s 192 168 2 101 -j AC, BarS, 14-Дек-10, 15:11 (1) //
- Так чтоли -A FORWARD -o eth1 -p tcp --destination 192 1, alex320388, 14-Дек-10, 15:28 (2) //
  - Я там твою схему скурить не могу Но логично В обратную сторону пакеты тож до, BarS, 14-Дек-10, 15:41 (3) //
    - А пропустятся они этим -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEP, BarS, 14-Дек-10, 15:42 (4)
      - это не работает -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT-A FORW, alex320388, 14-Дек-10, 16:05 (6)
    - gt оверквотинг удален если 192 168 2 2 за eth2, то не логично , reader, 14-Дек-10, 15:47 (5)
      - gt оверквотинг удален а как надо , alex320388, 14-Дек-10, 16:06 (7)
        
        gt оверквотинг удален если пакет идет от 101 10 10 , входит через eth1 а уйт , reader, 14-Дек-10, 16:23 (8)
        
        ifconfigeth1 inet addr 192 168 2 1 Bcast 192 168 2 255 Mask 255 255 255 0, alex320388, 14-Дек-10, 17:02 (9)
        
        а 101 10 10 1 - это кто шлюзом в 101 10 10 0 что указано , reader, 14-Дек-10, 17:11 (10)
        
        routeKernel IP routing tableDestination Gateway Genmask Flag, alex320388, 14-Дек-10, 17:15 (11)
        
        а за 101 10 10 1 сеть 10 20 8 0, alex320388, 14-Дек-10, 17:19 (12)
        
        а с ней что не так , reader, 14-Дек-10, 17:29 (14)
        
        gt оверквотинг удален 101 10 10 0 и 101 10 10 1 вам подконтрольны если нет, т, reader, 14-Дек-10, 17:26 (13)
        
        о, наверное то что надо, нутром чую Счас попробую, alex320388, 14-Дек-10, 17:32 (15)
        
        Здравствуйте Настраиваю iptables с прозрачным прокси squid Раньше, на прошлой , alien_, 27-Дек-10, 12:26 (16)
        начните с чтения как и на каких портах работает ftp, reader, 27-Дек-10, 12:57 (17)
        Да, оно-то конечно правильно FTP клиент в пассивном режиме шлет команды 21 порт, alien_, 27-Дек-10, 13:39 (18)
        gt оверквотинг удален куда она должна обратится в инет из вашей серой сети е, reader, 27-Дек-10, 13:48 (19)
        Да из внутренней сети к серверу на tcp port 5252 Ну, и обратно nat-A POSTRO, alien_, 27-Дек-10, 14:56 (20)
        gt оверквотинг удален само собой, reader, 27-Дек-10, 15:04 (21)
        Еще вопросик Как сделать, чтобы пинг проходил наружу С определенного ip внутри с, alien_, 27-Дек-10, 15:47 (22)
        да , но SNAT или MASQUERADE этому протоколу тоже нужен, reader, 27-Дек-10, 16:22 (23)
        Т е добавить nat-A POSTROUTING -p icmp -m icmp -o eth0 -s 192 168 8470 84, alien_, 27-Дек-10, 16:43 (24)
        правильней MASQUERADE сделать для всего и для всех, а в таблице фильтров уже раз, reader, 27-Дек-10, 16:58 (25)
        Не сильно ли маскарадинг будет нагружать сервер У меня его роль выполняет athlon, alien_, 28-Дек-10, 10:10 (26)
        меньше чем squid, и при правильной фильтрации через него пойдет не больше чем пр, reader, 28-Дек-10, 11:11 (27)
        Да, у меня в старом конфиге в filter по умолчанию все drop и описаны правила дл, alien_, 28-Дек-10, 11:23 (28)
        если из внешки никто не будет подключаться, то зачастую достаточно разрешить тол, reader, 28-Дек-10, 11:39 (29)
        А как выглядят правила для filter input и output У меня наверное не очень прави, alien_, 28-Дек-10, 12:42 (30)
        gt оверквотинг удален это не много правил и особой нагрузки не создаст по мер, reader, 28-Дек-10, 13:23 (31)
Всех поздравляю с Щедрым вечером В продолжении темы Я всетаки смог пробросить по, alex320388, 13-Янв-11, 12:12 (32) //
- gt оверквотинг удален в сторону что такое белые и серые адреса, reader, 13-Янв-11, 12:24 (33) //
  - нагуглил кое-что, вопрос - без прокси не обойтись , alex320388, 13-Янв-11, 12:40 (34) //
    - зависит от того что нужно, можно через DNAT, reader, 13-Янв-11, 12:52 (35)
      - нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 1, alex320388, 13-Янв-11, 13:10 (36)
        
        я о том нужен ли дополнительный контроль, кеширование, если нет, то хватит и , reader, 13-Янв-11, 13:38 (37)
        
        дополнительный контроль, кеширование, не нужныа со стороны клиента происходит то, alex320388, 13-Янв-11, 14:04 (38)
        
        потому что 192 168 2 101 это серый адрес и обращаться по нему в инет бессмысленн, reader, 13-Янв-11, 14:11 (39)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру