Перейти к содержимому
Калькуляторы

iptables и, блин, грабли...

хелп...

линукс с тремя интерфейсами

eth0 - инет

eth1 - локалка

eth2 - веб-сервера локалки

 

надо сделать, чтобы

некоторые из локалки ходили в инет через маскарад, на веб-сервера напрямую, а,

другие некоторые :) на веб-сервера ходили напрямую, а при попытке пойти в интернет роутер их редиректил на www-сервер линукса (допустим, на 81-й порт)

 

вопрос - КАК? я чё-то уже с iptables-ом запутался :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в инет ip динамический или статический ?

статический...

Кстати, сорри, за немного неточную формулировку вопроса - надо чтобы не "другие некоторые", а "все остальные"...

это принципиально...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. нарисуй все на бумажке и подумай как пакеты ходить будут

2. прочитай http://iptables-tutorial.frozentux.net/ и настрой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. нарисуй все на бумажке и подумай как пакеты ходить будут  

2. прочитай http://iptables-tutorial.frozentux.net/ и настрой

1. всё давно нарисовано...

2. читал... не с этого сайта, но, читал много чего...

 

iproute2 установлен?

установлен...

 

дело не в том, что я вообще не шарю, просто хочется сделать небольшую оптимизацию... до этого всё работало вот так:

сам знаю,что криво, но...

 

#ходим на сервера сети

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.1 -j DNAT --to 192.168.200.1; # dmz out

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.2 -j DNAT --to 192.168.200.2; # dmz pinger

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.3 -j DNAT --to 192.168.200.3; # dmz gora

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.4 -j DNAT --to 192.168.200.4; # dmz fileserv

 

# делаем редирект для юзеров с запрещённым доступом

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.2 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.3 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.4 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.5 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.6 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.7 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.8 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.9 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.10 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

 

# маскарад в интернет

iptables -t nat -A POSTROUTING -s 192.168.67.11 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.67.12 -j MASQUERADE

 

 

самая большая необходимость - это как-нибудь поставить редирект из PREROUTING самой последней цепочкой POSTROUTING, тогда отпадёт необходимость делать DNAT для серверов... да и не хочется каждый раз вытирать REDIRECT для каждого юзера локалки... хотелось-бы сделать для всех общее правило, которое действовало _после_ всех маскарадов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.