iptables

leprikon · Отправлено: **12:34, 13-04-2002** | #2

Т.е. сделать спросто форварднуть ?

хм...

давай сделаем так :

iptables -t nat -A *PREROUTING *-i <тот котрый слушает у тачки a.b.c.d> -d a.b.c.d *-p tcp --dport 80 -j DNAT --to a.a.a.a:80

т.е. запросы призходяшие на 80 порт *a.b.c.d редиректяться на *a.a.a.a:80

Дальше разберёшься ?

в ipchains было бы так :
ipmasqadm portfw -a -P tcp -L a.b.c.d 80 -R a.a.a.a 80

есть ещё финтипулька redirect :

redirect -s a.a.a.a 80 -d a.b.c.d. 80

Имхо такой синтаксис или схож близко...

Но в redirect надо помнить одну чтуку

Он не поддерживает форвард фтп.
Так как там идёт обратная связь, не пользователь устанавливает связь с сервером, а сервер с пользователем.

[s]Исправлено: leprikon, 0:45 14-04-2002[/s]

kuznets · Отправлено: **11:44, 26-06-2002** | #3

leprikon
Есть похожая проблема может найду связь...
iptables -t nat -A PREROUTING -i <тот котрый слушает у тачки a.b.c.d> -d a.b.c.d -p tcp --dport 80 -j DNAT --to a.a.a.a:80
<тот котрый слушает у тачки a.b.c.d> - т.е. тот кто конектится к моей тачке? Ну а если я незнаю кто это? например за рутером фтп и веб и юзать может кто угодно? можно этот момент немного обяснить ... или я не совсем правильно понял фразу?

GMM · Отправлено: **05:54, 11-07-2002** | #4

esli znaete english, to chitatite HOWTO
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/
eto siekonomit vam mnogo vremeni v budushem i nastoiashem

kuznets · Отправлено: **17:20, 01-08-2002** | #5

Нужно запретить диапазоны ИП адресов, а я незнаю как записать правильно диапазоны:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
224.0.0.0 - 239.255.255.255
240.0.0.0 - 247.255.255.255
iptables -I INPUT 1 -s [IP DIAPAZON] -j DROP

+ надо закрыть диапазон 192.168.0.0 - 192.168.255.255 но закрыть так чтоб не могли зайти только на eth0, а на eth1 был полностью открыт этот диапазон.

leprikon · Отправлено: **04:44, 02-08-2002** | #6

in_err="10.0.0.0 172.16.0.0 224.0.0.0 240.0.0.0"

for ip in $in_err; do

iptables -A INPUT -s $ip -j DROP

in_err1="192.168.0.0"

iptables -A INPUT -s $in_err1 -i eth0 -j DROP

iptables -A INPUT -s $in_err1 -i eth1 -j ACCEPT

В правильности цепочек правил не уверен (может что-то не дописал) , но принцып должен быть понятен.

kuznets · Отправлено: **07:36, 02-08-2002** | #7

leprikon
Как видешь в in_err="10.0.0.0 172.16.0.0 224.0.0.0 240.0.0.0"
указаны только четыре адреса, мне нужно диапазоны.
перечислять по одному адресу можно до пенсии

[s]Исправлено: kuznets, 9:37 2-08-2002[/s]

leprikon · Отправлено: **14:28, 02-08-2002** | #8

дык это диапазон

тебе с ветки 10.* не будет проходить

kuznets · Отправлено: **01:31, 03-08-2002** | #9

leprikon
А в таком случае
172.16.0.0 - 172.31.255.255
как расценить?
С ветки 172.16.* не будет приходить?
нестыковочка.

leprikon · Отправлено: **09:26, 03-08-2002** | #10

kuznets

ну допиши 172.16.0.0 и 172.31.0.0

GMM Сообщения: 16 Благодарности: 0	Профиль \| Отправить PM \| Цитировать esli znaete english, to chitatite HOWTO http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ eto siekonomit vam mnogo vremeni v budushem i nastoiashem
	Отправлено: 05:54, 11-07-2002 \| #4