https://slinkov.ru/openforum/vsluhforumID1/95197.html Всем привет<br>проверьте плиз правила на корректность<br><br>Задание.<br>eth1 - внутренний интерфейс.<br>eth0 - внешний интерфейс.<br><br>ext_ip - адрес интерфейса шлюза в сети интернет, статический. (192.168.1.85)<br><br>со стороны локальной сети 3 сегмента vlan, в каждом своя ip-сеть. На интерфейсе ethX настроены 3 саб-интерфейса:<br><br>eth1:1 - vlan1, 192.168.1.0/24 (адрес шлюза 192.168.1.1)<br>eth2:2 - vlan2, 192.168.2.0/24 (адрес шлюза 192.168.2.1)<br>eth3:3 - vlan3, 192.168.3.0/24 (адрес шлюза 192.168.3.1)<br><br>задача:<br>vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.<br><br>vlan2 и vlan3 доступ в интернет закрыт.<br>между vlan2 и vlan3 разрешен обмен любым трафиком.<br><br>между vlan1 и vlan2 разрешен обмен трафиком по протоколу icmp, остальной трафик закрыт.<br>между vlan1 и vlan3 разрешен обмен трафиком по протоколу http (веб-сервер находится в vlan3, адрес сервера произвольный).<br><br>доступ к шлюзу из всех vlan открыт по всем протоколам.<br>доступ к шлюзу из сети интернет за https://slinkov.ru/openforum/vsluhforumID1/95197.html#4 Mon, 18 Nov 2013 08:43:42 GMT &gt; помогите найти ошибку, мне сказали что это В ПРИНЦИПЕ неправильно <br>&gt; vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся <br>&gt; к легитимным соединениям.<br>&gt; iptables -A INPUT -i eth0 -s 192.168.1.0 -j ACCEPT <br>&gt; iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j <br>&gt; ACCEPT <br>&gt; iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85 <br>&gt; это из-за интерфейса? (нужно было указать eth1.1)?<br><br>маски сети указывайте, читайте какие есть таблицы в iptables и какие правила в каких из них прописываются<br> https://slinkov.ru/openforum/vsluhforumID1/95197.html#3 Mon, 18 Nov 2013 07:03:01 GMT помогите найти ошибку, мне сказали что это В ПРИНЦИПЕ неправильно<br><br>vlan1 выпускаем в интернет, обратно из интернета пропускаем только трафик, уже относящийся к легитимным соединениям.<br><br>iptables -A INPUT -i eth0 -s 192.168.1.0 -j ACCEPT<br>iptables -A OUTPUT -m state -d 192.168.1.0 -o eth0 --state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A POSTROUTING -o eth0 -s 192.168.1.0 -j SNAT --to-source 192.168.1.85<br><br>это из-за интерфейса? (нужно было указать eth1.1)? <br> https://slinkov.ru/openforum/vsluhforumID1/95197.html#2 Fri, 15 Nov 2013 10:14:49 GMT &gt; Обмен между - это FORWARD <br><br>Спасибо<br> https://slinkov.ru/openforum/vsluhforumID1/95197.html#1 Fri, 15 Nov 2013 10:08:17 GMT Обмен между - это FORWARD<br>