Linux за българи: Форуми

GeSHi (Bash):
#!/bin/bash
ifconfig=/sbin/ifconfig
route=/sbin/route
iptables=/sbin/iptables
int=eth1
ext=eth0
 
$ifconfig eth0 192.168.1.2 netmask 255.255.255.0
$route add default gw 192.168.1.1
 
$iptables -F
$iptables -t nat -F
$iptables -A FORWARD -i $int  -j ACCEPT
$iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j SNAT --to-source 192.168.1.2
$iptables -A FORWARD -i $ext -j ACCEPT
$iptables -t nat -A POSTROUTING -s #outerip# -o $int -j SNAT --to-source #innerip#     
/bin/cat /root/adsl-dns > /etc/resolv.conf
iptables-save > /etc/sysconfig/iptables-adsl
 
 

Та въпроса ми е, как да го направя така набор от определени външни ip-та да имат достъп само до определен хост от вътрешната мрежа.
15 и 16 ред сам ги добавял днес с идеята, че може да тръгне по тоя начин. Така, че моля помогнете, нов съм в тези неща и ако може да по-обясните повечко, каква е цялата далавера.

Здравей.Аз също съм новак ,но ще се опитам да ти помогна.


С първата команда спираш входящия трафик.Със следващите две си правиш
portforwarding-а към кой вътрешен хост да препраща.
Със последната указва  кой хост може да се свърже към вътрешния ти хост.
Дано ме разбереш.Ако греша казвайте,и Аз съм нов.

Здравей.Аз също съм новак ,но ще се опитам да ти помогна.

Код:

/sbin/iptables -P INPUT DROP
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 --dport  8888  -j DNAT --to $intip:80
/sbin/iptables -A FORWARD -p tcp -i $ext -d $intip --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -s $allowedhosts -d $extip -p tcp --dport  8888 -j ACCEPT

С първата команда спираш входящия трафик.Със следващите две си правиш
portforwarding-а към кой вътрешен хост да препраща.
Със последната указва  кой хост може да се свърже към вътрешния ти хост.
Дано ме разбереш.Ако греша казвайте,и Аз съм нов.

Пакетите в INPUT веригата нямат нищо общо с пакетите във FORWARD веригата:

(http://www.linuxhomenetworking.com/wiki/images/f/f0/Iptables.gif)

input веригата е над nat и forward, така че ако там няма глобална забрана(INPUT DROP) съчетана с разрешение за минаване на определени пакети, няма да постигнеш целта си - просто няма какво да спре пакетите да минат по който и да е друг път
хубаво си дал схемата, но е добре да прочетеш обясненията към програмката iptables за да не я тълкуваш грешно

А сега ми кажи къде се намира PREROUTING (*НЕЗАВИСИМО* коя таблица) и къде INPUT ;)

input веригата е над nat и forward

nat е таблица, INPUT и FORWARD са вериги ...

Значи идеята е следната:
1) идва пакет към ИП:порт на който ще му правим port forward (DNAT)
2) в PREROUTING/nat го препращаме към съответния host:port
- по този начин решението за маршрутизиране се променя от INPUT към FORWARD веригата
- следствие : във FORWARD веригата трябва да е разрешено преминаването на този пакет
3) пакетът отива през FORWARD веригата до съответния host:port

....

т.е. пакетът НИКОГА не се "допира" дори до INPUT веригата ;)

Какво общо има INPUT?

И аз това не разбрах. След изпълнението на Bash-а ми да дава multiple -d flags not allowed. Със IPtables 1.2.6a съм. Та пак да повторя искам да го направя така, че определено IP да има достъп само до един определен хост във вътрешната мрежа и достъпа да става през telnet и ftp.

1. МНОГО ти е стар iptables
2. Варанти много - ето ти един от тях:

GeSHi (Bash):
$iptables -t nat -A PREROUTING -p tcp -i $ext -s ИП1-което-има-достъп -d IP-то-на-вънпния-интетрфейс --dport  8888  -j DNAT --to ИП-то-на-машината-от-локалната-мрежа:80
$iptables -t nat -A PREROUTING -p tcp -i $ext -s ИП2-което-има-достъп -d IP-то-на-вънпния-интетрфейс --dport  8888  -j DNAT --to ИП-то-на-машината-от-локалната-мрежа:80

И сменям порт 80 с 23?
Той е ми е почти набор тоя компютър, нормално е.