Титла: iptables питанка
Публикувано от: TheRootMan в May 22, 2005, 21:44
Здравейте,
работата стои така:
рутер със 2 LAN карти
1. IP: 213.91.214.35
2. IP: 192.168.0.1
въпроса ми е със iptables как да задам кои портове точно да се рутират - примерно само връзки на които отдалечения порт да е 80, 25 и 110 а взички други да се игнорират ;-)
Благодаря предварително
работата стои така:
рутер със 2 LAN карти
1. IP: 213.91.214.35
2. IP: 192.168.0.1
въпроса ми е със iptables как да задам кои портове точно да се рутират - примерно само връзки на които отдалечения порт да е 80, 25 и 110 а взички други да се игнорират ;-)
Благодаря предварително
Титла: iptables питанка
Публикувано от: ivanatora в May 23, 2005, 10:00
man iptables 
Hint: --dport
Hint: --dport
Титла: iptables питанка
Публикувано от: Bogo в May 23, 2005, 14:43
Пробай това 
Титла: iptables питанка
Публикувано от: Knopper в May 23, 2005, 15:16
Хубаво е сам да погледнеш ръководствата, но мисля, че би трябвало да стане по следния начин (ако картата с 213.91.214.35 е eth1):
iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 80 -o eth1 -j SNAT --to-source 213.91.214.35
iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 25 -o eth1 -j SNAT --to-source 213.91.214.35
iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 110 -o eth1 -j SNAT --to-source 213.91.214.35
Аз бих ти препоръчал да оставиш и това:
iptables -t nat -A POSTROUTING -p udp -d 0/0 --dport 53 -o eth1 -j SNAT --to-source 213.91.214.35,
за да могат да се изпращат DNS заявките (освен ако на рутера не работи DNS).
А иначе добро ръководство за iptables може да се намери на този адрес.
Вместо SNAT --to-source 213.91.214.35 може да използваш MASQUERADE, обаче ако този IP адрес е статичен е по-добре SNAT, защото ползва по-малко ресурси на машината.
iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 80 -o eth1 -j SNAT --to-source 213.91.214.35
iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 25 -o eth1 -j SNAT --to-source 213.91.214.35
iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 110 -o eth1 -j SNAT --to-source 213.91.214.35
Аз бих ти препоръчал да оставиш и това:
iptables -t nat -A POSTROUTING -p udp -d 0/0 --dport 53 -o eth1 -j SNAT --to-source 213.91.214.35,
за да могат да се изпращат DNS заявките (освен ако на рутера не работи DNS).
А иначе добро ръководство за iptables може да се намери на този адрес.
Вместо SNAT --to-source 213.91.214.35 може да използваш MASQUERADE, обаче ако този IP адрес е статичен е по-добре SNAT, защото ползва по-малко ресурси на машината.