Титла: Конфигуриране на nat само за e-mail ?
Публикувано от: ludmilbv в Feb 06, 2008, 22:47
Здравейте имам Линукс рутер с Slackware. Значи имам пуснато прокси и NAT. За момента някой потребители са на проксито други имат директен интернет с NAT и съм ограничил трафика с HTB. NAT съм пуснал така
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -s 192.168.12.2 -j ACCEPT
iptables -A FORWARD -s 192.168.12.3 -j ACCEPT
...
iptables -A FORWARD -s 192.168.12.0/24 -j DROP
Интересуваме как мога да пусна NAT на IP само за SMTP и POP3 и за всички други портове да бъдат забранени. По този начин WEB ще пусна с Proxyto и всичко друго освен пощата ще бъде спряно ?
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -s 192.168.12.2 -j ACCEPT
iptables -A FORWARD -s 192.168.12.3 -j ACCEPT
...
iptables -A FORWARD -s 192.168.12.0/24 -j DROP
Интересуваме как мога да пусна NAT на IP само за SMTP и POP3 и за всички други портове да бъдат забранени. По този начин WEB ще пусна с Proxyto и всичко друго освен пощата ще бъде спряно ?
Титла: Конфигуриране на nat само за e-mail ?
Публикувано от: neter в Feb 07, 2008, 02:00
Добре дошъл във форума.
Първото, което ми идва наум е да направиш пренасочване със следните правила
Тук съм сложил само правила, с които ще останат позволени само портове 25 и 110. По същата схема вмъкни сред тях и позволение за порта, на който слуша проксито. Можеш да сложиш едно apache на 192.168.12.1 да слуша на порт 8000, където да сложиш едно гръмко съобщение от рода "Хайде сега си настрой браузъра да ползва прокси"
Първото, което ми идва наум е да направиш пренасочване със следните правила
| Примерен код |
| /sbin/iptables -A PREROUTING -t nat -p tcp -d 0.0.0.0/0 --dport 0:24 -j DNAT --to 192.168.12.1:8000 /sbin/iptables -A PREROUTING -t nat -p tcp -d 0.0.0.0/0 --dport 26:109 -j DNAT --to 192.168.12.1:8000 /sbin/iptables -A PREROUTING -t nat -p tcp -d 0.0.0.0/0 --dport 111:65535 -j DNAT --to 192.168.12.1:8000 |
Тук съм сложил само правила, с които ще останат позволени само портове 25 и 110. По същата схема вмъкни сред тях и позволение за порта, на който слуша проксито. Можеш да сложиш едно apache на 192.168.12.1 да слуша на порт 8000, където да сложиш едно гръмко съобщение от рода "Хайде сега си настрой браузъра да ползва прокси"
Титла: Конфигуриране на nat само за e-mail ?
Публикувано от: ludmilbv в Feb 08, 2008, 22:16
Хмм... на мен идеята ми е само за определено IP да забраня портовете, всички портове и да оставя само 25 и 110. Така като гледам, това ще го пробвам, но имам чувството, че ще спре за всички IP-та портовете. Мерси за бързия отговор. Почвам да го мъча 
Пуснал съм и ipp2p с цел.
edit by neter: Редактирано съгласно т.3 от правилата на форума, с които задължително трябва да се запознаеш и да ги спазваш
Пуснал съм и ipp2p с цел.edit by neter: Редактирано съгласно т.3 от правилата на форума, с които задължително трябва да се запознаеш и да ги спазваш
Титла: Конфигуриране на nat само за e-mail ?
Публикувано от: neter в Feb 10, 2008, 03:55
Точно така, правилно гледаш. Така формирани правилата ще ограничат всички IP-та зад въпросния рутер. Щом ти е нужно да ограничиш само дадено IP, то добави към правилата и "-s 192.168.12.2". Пример
| Примерен код |
| /sbin/iptables -A PREROUTING -t nat -p tcp -s 192.168.12.2 -d 0.0.0.0/0 --dport 0:24 -j DNAT --to 192.168.12.1:8000 |