Alba Posted May 5, 2004 хелп... линукс с тремя интерфейсами eth0 - инет eth1 - локалка eth2 - веб-сервера локалки надо сделать, чтобы некоторые из локалки ходили в инет через маскарад, на веб-сервера напрямую, а, другие некоторые :) на веб-сервера ходили напрямую, а при попытке пойти в интернет роутер их редиректил на www-сервер линукса (допустим, на 81-й порт) вопрос - КАК? я чё-то уже с iptables-ом запутался :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Артем B.M. Posted May 5, 2004 в инет ip динамический или статический ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alba Posted May 5, 2004 в инет ip динамический или статический ? статический... Кстати, сорри, за немного неточную формулировку вопроса - надо чтобы не "другие некоторые", а "все остальные"... это принципиально... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
f13 Posted May 6, 2004 1. нарисуй все на бумажке и подумай как пакеты ходить будут 2. прочитай http://iptables-tutorial.frozentux.net/ и настрой Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted May 6, 2004 iproute2 установлен? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alba Posted May 6, 2004 1. нарисуй все на бумажке и подумай как пакеты ходить будут 2. прочитай http://iptables-tutorial.frozentux.net/ и настрой 1. всё давно нарисовано... 2. читал... не с этого сайта, но, читал много чего... iproute2 установлен? установлен... дело не в том, что я вообще не шарю, просто хочется сделать небольшую оптимизацию... до этого всё работало вот так: сам знаю,что криво, но... #ходим на сервера сети iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.1 -j DNAT --to 192.168.200.1; # dmz out iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.2 -j DNAT --to 192.168.200.2; # dmz pinger iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.3 -j DNAT --to 192.168.200.3; # dmz gora iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.4 -j DNAT --to 192.168.200.4; # dmz fileserv # делаем редирект для юзеров с запрещённым доступом iptables -t nat -p tcp -A PREROUTING -s 192.168.67.2 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.3 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.4 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.5 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.6 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.7 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.8 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.9 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; iptables -t nat -p tcp -A PREROUTING -s 192.168.67.10 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1; # маскарад в интернет iptables -t nat -A POSTROUTING -s 192.168.67.11 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.67.12 -j MASQUERADE самая большая необходимость - это как-нибудь поставить редирект из PREROUTING самой последней цепочкой POSTROUTING, тогда отпадёт необходимость делать DNAT для серверов... да и не хочется каждый раз вытирать REDIRECT для каждого юзера локалки... хотелось-бы сделать для всех общее правило, которое действовало _после_ всех маскарадов... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
