sem Posted September 10, 2003 · Report post Есть маршрутизатор под АСП7.3 народ ходит через НАТ Но вот если шлюзом на другой тачке не в нашей сети, а сети прова прописываешь наш внешний IP то можно видать машинки в нашей сети, как лечить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tolka Posted September 10, 2003 · Report post а)ip_forwarding выключить б)файрволлом Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sem Posted September 10, 2003 · Report post а)ip_forwarding выключитьб)файрволлом a) выключу форвардинг - толку от гейта? б) А вот в какой чайн писать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boss1575 Posted September 11, 2003 · Report post Нормально настроить маскарад и закрыть роутер фаерволом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sem Posted September 11, 2003 · Report post Нормально настроить маскарад и закрыть роутер фаерволом. Ну у меня НАТ, а не маскардинг. НАТ работает нормально! а вот что-то типа iptables -A INPUT -i eth0 -d 192.168.0.0/24 -j DROP не помогают. Как закрыть нормально файром? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boss1575 Posted September 11, 2003 · Report post А зря ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DiBrain Posted September 11, 2003 · Report post Читать HOW_TO по Iptables там есть замечательные примеры А кратко цепочка Input это пакеты направленные для ТВОЕЙ машины а не на форвард Все проходящие пакеты ЧЕРЕЗ роутер идут по цепи forward там их и рубить надо iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -j DROP вот так примерно А для того чтобы для твоих клиентов ответы приходили от веба echo " - FWD: Allow all connections OUT and only existing/related IN" $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT Тоесть разрешить ответы на запросы пущенные из внутри во вне и пришедшие из вне во внутрь. И для каждого клиента : #Enable Inet for DiBrain $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -s 192.168.13.1 -j ACCEPT А НАТ echo " - NAT: Enabling SNAT (MASQUERADE) functionality on $EXTIF" $IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.13.1 -j SNAT --to $EXTIP А остальное DENY Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sem Posted September 11, 2003 · Report post А зря ... Маскарад для мопедного подключения рулит, но при ЛАН коннекте, когда ЕХТ_АйПи постоянный надо рулить СНАТ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...