URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 63146
[ Назад ]

Исходное сообщение
"iptables помогите с цепочкой FORWARD пожалуйста!"
Отправлено stasiki , 05-Янв-06 12:28

NAT, iptables, core 2.4.
Хочу открыть пару портов для выхода в инет (http, icq, ftp)
Пишу правило:
iptables -A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 20 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 5140 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 5140 -j ACCEPT
Думаю что мои правила составлены не правильно. Подскажите пожалуйста как сделать правильно!? С Уважением.

Содержание

iptables помогите с цепочкой FORWARD пожалуйста!,Vadimus, 15:57 , 07-Янв-06
iptables помогите с цепочкой FORWARD пожалуйста!,_KAV_, 11:15 , 09-Янв-06

Сообщения в этом обсуждении

"iptables помогите с цепочкой FORWARD пожалуйста!"
Отправлено Vadimus , 07-Янв-06 15:57

А где сами правила NAT ? Я полагаю необходимо добавить
iptables -t nat -A POSTROUTING -s <ip-адрес внутр. сети/маска внутр. сети> -j SNAT --to-source <ip-адрес в интернет>

"iptables помогите с цепочкой FORWARD пожалуйста!"
Отправлено _KAV_ , 09-Янв-06 11:15

>NAT, iptables, core 2.4.
>Хочу открыть пару портов для выхода в инет (http, icq, ftp)
>
>Пишу правило:
>
[skip]
>
>Думаю что мои правила составлены не правильно.
Действительно, неправильно... Согласен. Но не совсем понимаю вопрос,если дело идет о _твоем_ выходе в инет.
1. к примеру, пбращение к http идет не _с_ 80 порта, а _на_ 80 порт.
Таким образом, требуется разрешать а) output б) source = твоя машина (можно добавить для паранойи sport = непривегированые порты, хотя это вообще-то излишне)
2. требуется разрешить ответ, при этом только от того хоста, на который обращались. Это делается разнешением на input (опять таки) соединений с состоянием established, related.
Для прочих аналогично. Это если касается выхода этой машины в инет.
Для выхода в инет локалки правила меняются на forward с поправками
в 1.- разрешить forward с интерфейса in-iface= интерфейс в локальной сети (и включить маскарад, а еще лучше SNAT), все прочие правила одинаковы
в 2.- только заменить input на forward
P.S. А если хочешь предоставлять сервисы наружу, то все (почти) правильно, только цепочка-то должна быть input...
И вообще, х.з., чего ты хочешь добиться - по твоему посту это непонятно