Alba Posted May 5, 2004 Posted May 5, 2004 хелп... линукс с тремя интерфейсами eth0 - инет eth1 - локалка eth2 - веб-сервера локалки надо сделать, чтобы некоторые из локалки ходили в инет через маскарад, на веб-сервера напрямую, а, другие некоторые :) на веб-сервера ходили напрямую, а при попытке пойти в интернет роутер их редиректил на www-сервер линукса (допустим, на 81-й порт) вопрос - КАК? я чё-то уже с iptables-ом запутался :( Вставить ник Quote
Артем B.M. Posted May 5, 2004 Posted May 5, 2004 в инет ip динамический или статический ? Вставить ник Quote
Alba Posted May 5, 2004 Author Posted May 5, 2004 в инет ip динамический или статический ? статический... Кстати, сорри, за немного неточную формулировку вопроса - надо чтобы не "другие некоторые", а "все остальные"... это принципиально... Вставить ник Quote
f13 Posted May 6, 2004 Posted May 6, 2004 1. нарисуй все на бумажке и подумай как пакеты ходить будут 2. прочитай http://iptables-tutorial.frozentux.net/ и настрой Вставить ник Quote
Alba Posted May 6, 2004 Author Posted May 6, 2004 1. нарисуй все на бумажке и подумай как пакеты ходить будут 2. прочитай http://iptables-tutorial.frozentux.net/ и настрой 1. всё давно нарисовано... 2. читал... не с этого сайта, но, читал много чего... iproute2 установлен? установлен... дело не в том, что я вообще не шарю, просто хочется сделать небольшую оптимизацию... до этого всё работало вот так: сам знаю,что криво, но... #ходим на сервера сети iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.1 -j DNAT --to 192.168.200.1; # dmz out iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.2 -j DNAT --to 192.168.200.2; # dmz pinger iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.3 -j DNAT --to 192.168.200.3; # dmz gora iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.4 -j DNAT --to 192.168.200.4; # dmz fileserv # делаем редирект для юзеров с запрещённым доступом iptables -t nat -p tcp -A PREROUTING -s 192.168.67.2 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.3 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.4 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.5 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.6 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.7 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.8 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.9 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.10 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; # маскарад в интернет iptables -t nat -A POSTROUTING -s 192.168.67.11 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.67.12 -j MASQUERADE самая большая необходимость - это как-нибудь поставить редирект из PREROUTING самой последней цепочкой POSTROUTING, тогда отпадёт необходимость делать DNAT для серверов... да и не хочется каждый раз вытирать REDIRECT для каждого юзера локалки... хотелось-бы сделать для всех общее правило, которое действовало _после_ всех маскарадов... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.