Изпечатай

[milkonoj]

Код

GeSHi (Bash):
#!/bin/bash
ifconfig=/sbin/ifconfig
route=/sbin/route
iptables=/sbin/iptables
int=eth1
ext=eth0
 
$ifconfig eth0 192.168.1.2 netmask 255.255.255.0
$route add default gw 192.168.1.1
 
$iptables -F
$iptables -t nat -F
$iptables -A FORWARD -i $int  -j ACCEPT
$iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j SNAT --to-source 192.168.1.2
$iptables -A FORWARD -i $ext -j ACCEPT
$iptables -t nat -A POSTROUTING -s #outerip# -o $int -j SNAT --to-source #innerip#     
/bin/cat /root/adsl-dns > /etc/resolv.conf
iptables-save > /etc/sysconfig/iptables-adsl
 
 

Та въпроса ми е, как да го направя така набор от определени външни ip-та да имат достъп само до определен хост от вътрешната мрежа.
15 и 16 ред сам ги добавял днес с идеята, че може да тръгне по тоя начин. Така, че моля помогнете, нов съм в тези неща и ако може да по-обясните повечко, каква е цялата далавера.

[Iron_steel]

Здравей.Аз също съм новак ,но ще се опитам да ти помогна.

Код:

/sbin/iptables -P INPUT DROP
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 --dport  8888  -j DNAT --to $intip:80
/sbin/iptables -A FORWARD -p tcp -i $ext -d $intip --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -s $allowedhosts -d $extip -p tcp --dport  8888 -j ACCEPT

С първата команда спираш входящия трафик.Със следващите две си правиш
portforwarding-а към кой вътрешен хост да препраща.
Със последната указва  кой хост може да се свърже към вътрешния ти хост.
Дано ме разбереш.Ако греша казвайте,и Аз съм нов.

[VladSun]

Здравей.Аз също съм новак ,но ще се опитам да ти помогна.

Код:

/sbin/iptables -P INPUT DROP
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 --dport  8888  -j DNAT --to $intip:80
/sbin/iptables -A FORWARD -p tcp -i $ext -d $intip --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -s $allowedhosts -d $extip -p tcp --dport  8888 -j ACCEPT

С първата команда спираш входящия трафик.Със следващите две си правиш
portforwarding-а към кой вътрешен хост да препраща.
Със последната указва  кой хост може да се свърже към вътрешния ти хост.
Дано ме разбереш.Ако греша казвайте,и Аз съм нов.

Пакетите в INPUT веригата нямат нищо общо с пакетите във FORWARD веригата:

[petar258]

input веригата е над nat и forward, така че ако там няма глобална забрана(INPUT DROP) съчетана с разрешение за минаване на определени пакети, няма да постигнеш целта си - просто няма какво да спре пакетите да минат по който и да е друг път
хубаво си дал схемата, но е добре да прочетеш обясненията към програмката iptables за да не я тълкуваш грешно

[VladSun]

А сега ми кажи къде се намира PREROUTING (*НЕЗАВИСИМО* коя таблица) и къде INPUT

[VladSun]

input веригата е над nat и forward

nat е таблица, INPUT и FORWARD са вериги ...

[VladSun]

Значи идеята е следната:
1) идва пакет към ИП:порт на който ще му правим port forward (DNAT)
2) в PREROUTING/nat го препращаме към съответния host:port
- по този начин решението за маршрутизиране се променя от INPUT към FORWARD веригата
- следствие : във FORWARD веригата трябва да е разрешено преминаването на този пакет
3) пакетът отива през FORWARD веригата до съответния host:port

....

т.е. пакетът НИКОГА не се "допира" дори до INPUT веригата

[gat3way]

Какво общо има INPUT?

[milkonoj]

И аз това не разбрах. След изпълнението на Bash-а ми да дава multiple -d flags not allowed. Със IPtables 1.2.6a съм. Та пак да повторя искам да го направя така, че определено IP да има достъп само до един определен хост във вътрешната мрежа и достъпа да става през telnet и ftp.

[VladSun]

1. МНОГО ти е стар iptables
2. Варанти много - ето ти един от тях:

Код

GeSHi (Bash):
$iptables -t nat -A PREROUTING -p tcp -i $ext -s ИП1-което-има-достъп -d IP-то-на-вънпния-интетрфейс --dport  8888  -j DNAT --to ИП-то-на-машината-от-локалната-мрежа:80
$iptables -t nat -A PREROUTING -p tcp -i $ext -s ИП2-което-има-достъп -d IP-то-на-вънпния-интетрфейс --dport  8888  -j DNAT --to ИП-то-на-машината-от-локалната-мрежа:80

[milkonoj]

И сменям порт 80 с 23?
Той е ми е почти набор тоя компютър, нормално е.