форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение		[ Отслеживать ]

"Как маскарадить опеределённые порты из Интернет?"	+/–
Сообщение от fbslim (ok) on 25-Апр-12, 16:20
Допустим, имеется обычная задача, маскарадить интернет с одного шлюзового интерфейса (который смотрит в интренет (eth1)) на другой (который смотрит в локальную сеть): iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Работает прекрасно, на всю локалку. Далее. Допустим, разрешить маскарадинг инета для определённого IP внутри локалки, а остальные останутся без инета: iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.146/32 -j MASQUERADE Теперь комп с IP 192.168.1.146 в инет ходит, а остальные не могут. Теперь, вопрос, как таким же образом запретить для IP 192.168.1.146 весь интернет, а разрешить только ftp сервис из интернета и только на один IP , допустим 41.42.43.44? То есть, чтобы он мог обращаться только к 41.42.43.44 ftp ресурсу на 21 порт, а всё остальное было недоступно. Суть в том чтобы доступ из интернета к этому компьютеру был снаружи, допустим по RDP, но чтобы внутри интернет не работал (и не выполнялись команды типа tracert), но был доступен только один ресурс ftp. Я пытался сделать хотябы доступ к любому 21 порту в инете, а не определённому: iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.146/32 -p tcp --sport 21 --dport 21 -j MASQUERADE Не работает. Скажите, как заставить маскарадить всего один порт на один IP? Я на Микротике это делал - маскарадинг опеределённого порта на определённый IP. Работало замечательно, именно так как надо. Тут... с IPtables не могу понять что не так :( Подскажите, пожалуйста, что не так.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как маскарадить опеределённые порты из Интернет?"	+/–
Сообщение от vg (??) on 25-Апр-12, 18:30
--sport 21 source port вообщето обычно выше 1024, да еще и всегда разный может не стоит его указывать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Как маскарадить опеределённые порты из Интернет?"	+/–
	Сообщение от PavelR (ok) on 25-Апр-12, 20:09
	> --sport 21 > source port вообщето обычно выше 1024, да еще и всегда разный > может не стоит его указывать? кроме того, если это всё-таки FTP, то надо грузить модуль ip_conntrack_ftp + ip_nat_ftp и разрешать прохождение пакетов по признаку состояния: -m state --state ESTABLISHED,RELATED
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Как маскарадить опеределённые порты из Интернет?"	+/–
Сообщение от PavelR (ok) on 25-Апр-12, 20:04
> Допустим, имеется обычная задача, маскарадить интернет с одного шлюзового интерфейса (который > смотрит в интренет (eth1)) на другой (который смотрит в локальную сеть): > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > Работает прекрасно, на всю локалку. > Далее. > Допустим, разрешить маскарадинг инета для определённого IP внутри локалки, а остальные > останутся без инета: > iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.146/32 -j MASQUERADE > Теперь комп с IP 192.168.1.146 в инет ходит, а остальные не могут. Так не делается. Точнее, так не правильно. Делаем >iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE >Работает прекрасно, на всю локалку. А потом в filter.FORWARD запрещаем/разрешаем прохождение нужных пакетов. nat.POSTROUTING - не для фильтрации.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Как маскарадить опеределённые порты из Интернет?"	+/–
	Сообщение от fbslim (ok) on 08-Май-12, 17:20
	> Делаем >>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE >>Работает прекрасно, на всю локалку. > А потом в filter.FORWARD запрещаем/разрешаем прохождение нужных пакетов. > nat.POSTROUTING - не для фильтрации. Павел, спасибо за совет. Так судя по всему и придётся.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема