Здорово ВСЕМ
У меня тут возникла такая проблема. Есть сетка 192.168.50.0/24 её нужно вывести в инет только на определённый адрес и порт
пусть будет 206.252.197.251 Значит так все это дело выводится через роутер, у него всего один интерфейс eth0,прописано как
192.168.100.50 смотрящий в инет (шлюз прова 192.168.40.50 на нём стоит сквид и перенаправление на 3128) и 192.168.50.5 в локалку под красной шапкой 8ой на нём поднят натинг. Так вот проблема в том что когда с помощью iptables прописываю правила в цепочке FORWARD не исполняет. ставлю если политику на ACCEPT все пакеты пропускает естественно натинг работает и инет пашет, но мне нужно открыть только определённые адреса и порты
как только ставлю политику DROP и прописываю следующие
iptables -P FORWARD -j DROP
iptables -P INPUT -j DROP
iptables -P OUTPUT -j DROP
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 192.168.50.0/24 -d 206.252.197.251 -p tcp --dport www -j ACCEPT
все пакеты уничтожает :(
пробывал и так
iptables -P FORWARD -j ACCEPT
iptables -P INPUT -j DROP
iptables -P OUTPUT -j DROP
iptables -I FORWARD -p tcp -s 192.168.50.0/24 -d 206.252.197.251 --dport 80 -j ACCEPT
iptables -A FORWARD -d 0/0 -j DROP
тоже не проходит :( много ещё вариантов пробывал всех уже и не вспомнить. причём iptables -L выводит правила которые я прописываю.
столько ночей уже провёл с этим до сих пор непаешет.за это время уже и с мандрейка на шапку перешёл и несколько раз кернел паник был. Может кто ни будь знает в чём ошибка? помогите начинающему. Ато уже подумываю сквидом перекрывать но это не так безопасно и вообще хотелось бы с помощью iptables научится .перечитал уже всё что было на форуме по этим вопросам и iptables toturial,Linux 2_4 Packet Filtering HOWTO и другую инфу связанную с iptables
подскажите может что упустил?
Вариант для распечатки
Информационная безопасность (Public)
(ok) on
09-Май-04, 18:43 (MSK)
