вопрос про форвардинг

[sem]

Есть маршрутизатор под АСП7.3

народ ходит через НАТ

Но вот если шлюзом на другой тачке не в нашей сети, а сети прова прописываешь наш внешний IP то можно видать машинки в нашей сети, как лечить?

[Tolka]

а)ip_forwarding выключить

б)файрволлом

[sem]

а)ip_forwarding выключить

б)файрволлом

a) выключу форвардинг - толку от гейта?

б) А вот в какой чайн писать?

[boss1575]

Нормально настроить маскарад и закрыть роутер фаерволом.

[sem]

Нормально настроить маскарад и закрыть роутер фаерволом.

Ну у меня НАТ, а не маскардинг. НАТ работает нормально!

а вот что-то типа iptables -A INPUT -i eth0 -d 192.168.0.0/24 -j DROP не помогают. Как закрыть нормально файром?

[boss1575]

А зря ...

[DiBrain]

Читать HOW_TO по Iptables там есть замечательные примеры

А кратко цепочка Input это пакеты направленные для ТВОЕЙ машины а не на форвард

Все проходящие пакеты ЧЕРЕЗ роутер идут по цепи forward там их и рубить надо

iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -j DROP

вот так примерно

А для того чтобы для твоих клиентов ответы приходили от веба

echo " - FWD: Allow all connections OUT and only existing/related IN"

$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED

-j ACCEPT

Тоесть разрешить ответы на запросы пущенные из внутри во вне и пришедшие из вне во внутрь.

И для каждого клиента : #Enable Inet for DiBrain

$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -s 192.168.13.1 -j ACCEPT

 

А НАТ echo " - NAT: Enabling SNAT (MASQUERADE) functionality on $EXTIF"

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.13.1 -j SNAT --to $EXTIP

 

А остальное DENY

[sem]

А зря ...

Маскарад для мопедного подключения рулит, но при ЛАН коннекте, когда ЕХТ_АйПи постоянный надо рулить СНАТ