Jump to content
Калькуляторы

iptables и, блин, грабли...

хелп...

линукс с тремя интерфейсами

eth0 - инет

eth1 - локалка

eth2 - веб-сервера локалки

 

надо сделать, чтобы

некоторые из локалки ходили в инет через маскарад, на веб-сервера напрямую, а,

другие некоторые :) на веб-сервера ходили напрямую, а при попытке пойти в интернет роутер их редиректил на www-сервер линукса (допустим, на 81-й порт)

 

вопрос - КАК? я чё-то уже с iptables-ом запутался :(

Share this post


Link to post
Share on other sites

в инет ip динамический или статический ?

статический...

Кстати, сорри, за немного неточную формулировку вопроса - надо чтобы не "другие некоторые", а "все остальные"...

это принципиально...

Share this post


Link to post
Share on other sites

1. нарисуй все на бумажке и подумай как пакеты ходить будут  

2. прочитай http://iptables-tutorial.frozentux.net/ и настрой

1. всё давно нарисовано...

2. читал... не с этого сайта, но, читал много чего...

 

iproute2 установлен?

установлен...

 

дело не в том, что я вообще не шарю, просто хочется сделать небольшую оптимизацию... до этого всё работало вот так:

сам знаю,что криво, но...

 

#ходим на сервера сети

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.1 -j DNAT --to 192.168.200.1; # dmz out

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.2 -j DNAT --to 192.168.200.2; # dmz pinger

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.3 -j DNAT --to 192.168.200.3; # dmz gora

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.4 -j DNAT --to 192.168.200.4; # dmz fileserv

 

# делаем редирект для юзеров с запрещённым доступом

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.2 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.3 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.4 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.5 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.6 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.7 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.8 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.9 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.10 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

 

# маскарад в интернет

iptables -t nat -A POSTROUTING -s 192.168.67.11 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.67.12 -j MASQUERADE

 

 

самая большая необходимость - это как-нибудь поставить редирект из PREROUTING самой последней цепочкой POSTROUTING, тогда отпадёт необходимость делать DNAT для серверов... да и не хочется каждый раз вытирать REDIRECT для каждого юзера локалки... хотелось-бы сделать для всех общее правило, которое действовало _после_ всех маскарадов...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.