https://www.opennet.me/openforum/vsluhforumID10/5198.html Здравствуйте, дорогие форумчане.<br>Вопрос очень прост. Как ПРАВИЛЬНО написать правила проброса порта с внешного ip на хост внутри локальной сети? У меня 2 варианта:<br><br>1) Ограничиваем проброс указанием источника:<br><br>-A PREROUTING -t nat -s 1.1.1.1 -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1<br><br>и разрешаем проход в FORWARD<br><br>-A FORWARD -i eth2 -o eth0 -d 192.168.1.1 -p tcp --dport 3389 -j ACCEPT<br><br>2) Или же пробрасываем всех страждущих<br><br>-A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1<br><br>а не угодных "косим" в FORARD<br><br>-A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 -j ACCEPT<br>-A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP<br><br><br>Какое решение, идиологически, более правильное??<br> https://www.opennet.me/openforum/vsluhforumID10/5198.html#5 Thu, 03 Oct 2013 04:15:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 <br>&gt;&gt;&gt; -j DNAT --to-destination 192.168.1.1 <br>&gt;&gt;&gt; а не угодных "косим" в FORARD <br>&gt;&gt;&gt; -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 <br>&gt;&gt;&gt; -j ACCEPT <br>&gt;&gt;&gt; -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP <br>&gt;&gt;&gt; Какое решение, идиологически, более правильное??<br>&gt;&gt; если сделаете по 1 варианту , то желательно не угодных "косим" в <br>&gt;&gt; INPUT, но там можно политикой по умолчанию обойтись <br>&gt; Не-не-не. INPUT тут не участвует. Это транзитный трафик.<br><br>транзитный это для кого dnat сделаете, а кого не завернете - INPUT. Если конечно ip назначения изначально - ip этой машины<br> https://www.opennet.me/openforum/vsluhforumID10/5198.html#4 Wed, 02 Oct 2013 18:07:22 GMT Модно сделать так<br><br># здесь проверяются только пакеты RDP<br>iptables -t nat -N RDP<br>iptables -t nat -A RDP -s 1.1.1.1 -d 2.2.2.2 -j DNAT --to-destination 192.168.1.1<br>iptables -t nat -A RDP -s A.B.C.D -d E.F.G.H -j DNAT --to-destination I.J.K.L<br># не тратим ресурсы на непрошенных гостей<br>iptables -t nat -A RDP -j TARPIT<br><br># каждый пакет проверяется здесь только один раз<br>iptables -t nat -p tcp -m tcp --dport 3389 -g RDP<br><br># если есть желание отфильтровать что-нибудь - IMHO: чем раньше - тем меньше ресурсов на это будет потрачено<br> https://www.opennet.me/openforum/vsluhforumID10/5198.html#3 Wed, 02 Oct 2013 17:17:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 2) Или же пробрасываем всех страждущих <br>&gt;&gt; -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 <br>&gt;&gt; -j DNAT --to-destination 192.168.1.1 <br>&gt;&gt; а не угодных "косим" в FORARD <br>&gt;&gt; -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 <br>&gt;&gt; -j ACCEPT <br>&gt;&gt; -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP <br>&gt;&gt; Какое решение, идиологически, более правильное??<br>&gt; если сделаете по 1 варианту , то желательно не угодных "косим" в <br>&gt; INPUT, но там можно политикой по умолчанию обойтись <br><br>Не-не-не. INPUT тут не участвует. Это транзитный трафик.<br> https://www.opennet.me/openforum/vsluhforumID10/5198.html#2 Wed, 02 Oct 2013 07:12:27 GMT &gt;[оверквотинг удален]<br>&gt; -A FORWARD -i eth2 -o eth0 -d 192.168.1.1 -p tcp --dport 3389 <br>&gt; -j ACCEPT <br>&gt; 2) Или же пробрасываем всех страждущих <br>&gt; -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 <br>&gt; -j DNAT --to-destination 192.168.1.1 <br>&gt; а не угодных "косим" в FORARD <br>&gt; -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 <br>&gt; -j ACCEPT <br>&gt; -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP <br>&gt; Какое решение, идиологически, более правильное??<br><br>если сделаете по 1 варианту , то желательно не угодных "косим" в INPUT, но там можно политикой по умолчанию обойтись<br> https://www.opennet.me/openforum/vsluhforumID10/5198.html#1 Wed, 02 Oct 2013 03:32:45 GMT <br><br>&gt; Какое решение, идиологически, более правильное??<br><br>Я думаю, что в случае DNAT решение зависит от задачи. <br>Например, может случиться так, что с другого src IP пойдет на другой dnat IP, и т п.<br><br>Опять же, зависит от числа IP, которым разрешено. Если их &gt;1 я бы делал по варианту 2, но с учетом вышенаписанного мной.<br><br><br>---<br><br>В случае с SNAT решение "фильтровать в nat" обычно приводит к тому, что на внешнем интерфейсе летают пакеты с адресами внутренней сети. <br><br>---<br><br>В общем случае, на мой взгляд, "правильно идеологически" - это сделать так, чтобы минимальное манипулирование правилами приводило к максимально корректному на ваш взгляд результату - т.е. минимизировать свою работу при максимальном уровне правильности правил.<br>Такая минимизация полезна, т.к. уменьшается вероятность "чего-нибудь забыть".<br><br><br><br><br>