|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Andrey Sh 2:5020/400 02 Nov 2005 12:12:59
To : All
Subject : туплю с фаерволом, помогите!
--------------------------------------------------------------------------------
Добрый День или Вечер всем!
Hачну с самого начала, в свое время на ipchains была реализована такая
система:
интернет шлюз(почта) + шлюз организации(основной), на последнем несколько
сетевых карт и правила по которым нужные люди попадали уже на
интернет-шлюз.
интенет-шлюз основной
internet <------ внешний-ip 192.168.0.100
внутр. : 192.168.3.254 <----------> 192.168.3.100
192.168.1.100
Интернет машину с ipchains перевел на iptables без проблем.
Сейчас там, если в укороченном варианте то такие правила
#MASQUERADE & FORWARD
iptables -t nat -A POSTROUTING -o $EIFACE -s $LOCALNET -j SNAT --to-source
$EXTERN
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s $LOCALNET -i $IIFACE -j ACCEPT
пакеты попадающие с основного шлюза переправляются дальше.
ну и далее ...всякие нюансы , необходимые для фаервола.
Hа основном шлюзе как такового фаерфола нет, простые разрешения для
определенных ip адресов и все реализовано на ipchains таким образом.:
#!/bin/sh
LO="127.0.0.1"
IPNET0="192.168.0.100"
IPNET1="192.168.1.100"
IPNET3="192.168.3.100" (на интернет шлюз, адрес которого 192.168.3.254)
UNPRIVPORTS="1024:65535"
ANY="any/0"
function EnableIPNetCard()
{
/sbin/ipchains -A input -s $1 -d $ANY -j ACCEPT
/sbin/ipchains -A input -s $ANY -d $1 -j ACCEPT
/sbin/ipchains -A output -s $ANY -d $1 -j ACCEPT
/sbin/ipchains -A output -s $1 -d $ANY -j ACCEPT
}
/sbin/ipchains -F
/sbin/ipchains -X # clear all current rules
/sbin/ipchains -P input DENY
/sbin/ipchains -P output DENY
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ
/sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ
EnableIPNetCard $LO
EnableIPNetCard $IPNET0
EnableIPNetCard $IPNET1
EnableIPNetCard $IPNET3
Вот собственно и все, далее , например, для разрешения выхода в интернет по
ip адресу 192.168.0.10
что-то подобное
/sbin/ipchains -A input -p tcp -s 192.168.0.10 -d $ANY www -j ACCEPT
/sbin/ipchains -A output -p tcp -s $ANY www -d 192.168.0.10 -j ACCEPT
Сейчас что-то подобное пытаюсь реализовать на iptables.
#!/bin/sh
LOIFACE="lo"
LO="127.0.0.0/8"
IIFACE0="eth0"
IPNET0="192.168.0.100"
INTERN0="192.168.0.0/24"
IIFACE1="eth2"
IPNET1="192.168.1.100"
INTERN1="192.168.1.0/24"
EIFACE="eth1"
IPEXT="192.168.3.100" (на интернет шлюз, адрес которого 192.168.3.254)
EXTERN="192.168.3.0/24"
ANY="any/0"
function EnableIPNetCard()
{
echo "Enable IP for user $1"
/sbin/iptables -A INPUT -i $1 -s $2 -j ACCEPT
/sbin/iptables -A OUTPUT -o $1 -d $2 -j ACCEPT
}
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -X # clear all current rules
/sbin/iptables -X -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -i $LOIFACE -j ACCEPT
/sbin/iptables -A OUTPUT -o $LOIFACE -j ACCEPT
EnableIPNetCard $IIFACE0 $INTERN0
EnableIPNetCard $IIFACE1 $INTERN1
EnableIPNetCard $EIFACE $EXTERN
/sbin/iptables -t nat -A POSTROUTING -s $INTERN0 -o $EIFACE -j
SNAT --to-source $IPEXT
/sbin/iptables -t nat -A POSTROUTING -s $INTERN1 -o $EIFACE -j
SNAT --to-source $IPEXT
/sbin/iptables -A FORWARD -i $IIFACE0 -s $INTERN0 -j ACCEPT
/sbin/iptables -A FORWARD -i $IIFACE1 -s $INTERN1 -j ACCEPT
/sbin/iptables -A FORWARD -i $EIFACE -s $EXTERN -j ACCEPT
Вот, по моим предположениям, это должно работать , при чем для всей(пока
хотя бы такое реализовать) локальной сети должен осуществляться выход в
интернет. Hо сталкиваюсь с тем, что имею только доступ до интернет-шлюза,
почему дальше пакеты не проходят?
Протупил вчера весь вечер, в ступор полный вошел, и с утра не могу понять,
что не так, почему упирается в во внутреннею сетевуху интернет-шлюза и как
вообще потом реализовать доступ именно для отдельных адресов.
Заранее спасибо, хотя бы за то, что до конца дочитали.
--- ifmail v.2.15dev5.3
* Origin: AAA Intersvyaz (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
