Помогите разобраться с iptables ?

FastCat

Турист
Регистрация
28 Дек 2004
Сообщения
15
Реакции
0
Credits
20
Хочу при помощи iptables настроить следующее:

Есть сервер (под SuSe Linux) с двумя интерфейсами:

eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть)
eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)

1. Надо, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один ip 10.28.0.75 (и при этом им были доступны на этом ip _ТОЛЬКО_: web, ftp и 8888 порт) ?

2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.

Вот карта сети:
home_lans.jpg


(Кто, куда должен ходить нарисовано соот. цветом)

Всякие man'ы по iptables читал. Но ни}{рена не понял :(
Помогите pls настроить все это дело.
 

roger2005

Турист
Регистрация
23 Авг 2005
Сообщения
4
Реакции
1
Credits
8
/etc/sysconfig/iptables
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 80 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 21 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p tcp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -p udp -dport 8888 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.0/24 -j REJECT

>>2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.
что значит ВИДЕЛИ ?
 

enyuri

Местный
Регистрация
30 Июн 2005
Сообщения
162
Реакции
41
Credits
0
Привет!
Попробуй так:
iptables -A INPUT -p tcp -m tcp -m multiport -s 192.168.1.0/24 -d 10.28.0.75 --dports 20,21,80,8888 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 10.28.0.75 -j DROP
iptables -A FORWARD -p tcp -m tcp -s 192.168.1.0/24 -d 10.28.0.0/24 --syn -j DROP

Данная конфига описывает только tcp трафик. Все остальное для системы открыто. Чтобы понять, чего пускать, чего нет надо более подробно описать задачу.
Проверь, чтобы модуль multiport был загружен (modprobe ipt_multiport), иначе iptables может ругнуться.
FTP будет работать только в passive режиме. Можно подгрузить модуль ip_nat_ftp, чтобы FTP работал корректно. (modprobe ip_nat_ftp)
 

FastCat

Турист
Регистрация
28 Дек 2004
Сообщения
15
Реакции
0
Credits
20
>>что значит ВИДЕЛИ ?
Это значит, что любому пользователю из сети 10.28.0.* должнен быть доступeн любой ip сети 192.168.1.*


>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?
 

enyuri

Местный
Регистрация
30 Июн 2005
Сообщения
162
Реакции
41
Credits
0
FastCat написал(а):
>>что значит ВИДЕЛИ ?
>>Чтобы понять, чего пускать, чего нет надо более подробно описать >>задачу.
Мне кажется, я и так подробно все описал. Или не все ?
Что делать с UDP, ICMP? Для этих протоколов нет такого понятия, как ESTABLISH, Поэтому запретить из одно сети в другую в одном направлении невозможно.
 

FastCat

Турист
Регистрация
28 Дек 2004
Сообщения
15
Реакции
0
Credits
20
И как тогда лучше поступить в моей ситуации ?
 

enyuri

Местный
Регистрация
30 Июн 2005
Сообщения
162
Реакции
41
Credits
0
Думаю, так: :)
iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP
iptables -A FORWARD -p icmp -s 192.168.1.0/24 -d 10.28.0.0/24 -j DROP