2006-04-07 10:06:22 saydack napisał:
> 2006-04-06 18:51:01 capsel napisał:
>
> > 2006-04-06 16:37:23 saydack napisał:
> >
> > > Mam DSLa z 1 IP. Do dzielenia netu mam router linuxowy (mandriva) która dzieli mi
> sieć na
> > kilka
> > > kompów 192.168.0.0 na jednym z nich chce postawić serwer www, poczty itd - jak
> zrobić aby
> > ruch
> > > na moje zewnętrzne IP był kierowany do tego kompa za natem
> > Na podstawie przyslanych przez ciebie danych moge z czystym sumieniem nazwać Cie leniem
>
> > man iptables i do dziela!!
>
> No właśnie próbowałem iptables ale coś mi nie idzie
> wpisałem
> # iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> # iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 80 -j DNAT --to 192.168.0.2:80
>
> i lipa
> co mam nie tak
> Mandriva oczywiście obsługuje iptables
Ten INPUT jest niepotrzebny, przecierz chcesz to prezekazac pakiety do kompa wewnątrz sieci a nie na weście tego komputera (router).
Musisz dodać wpis do FORWARD-u żeby przekazac pakiety wgłąb sieci.
Może nie do końca "widzisz" strukturę przekazywania pakietów w jądrze linuxa. Spróbóję Ci to troche przybliżyć. Pod tym* adresem umieściłem małą ściąge która może sie okiazac pomocna podczas czytania tego małego wyjasnienia
- Na wejściu pakiet przechodzi przez "mangle PREROUTING" a po tym przez "nat PREROUTING" w tych dwóch łańcuchach może być zmieniony nagłówek pakietów wskazujący nadawcę albo odbiorcę, z tym że zaleca się by w PREROUTING zmieniać odbiorcę a nadawce zostawiać.
- Po tym podejmowana jest decyzja o routingu, jesli nie wpadnie w nich w żadną regułę to jest przekazywany na wejście do łańcucha INPUT komputera a jeśli jest w nich przekierowany to idzie do łańcucha FORWARD.
- FORWARD jest podzielony na 2 łancuchy, "mangle" i "filter". "Mangle" jest pierwszy a "filter" to właściwy łańcuch który często ma się na myśli mówiąc FORWARD. W nich wskazujesz które pakiety mające w nagłówku odbiorcę wewnątrz sieci, lub wychodzące mające w nagłówku adres zewnętrzny, mają być przepuszczane a które nie.
- INPUT komputera równierz podzielony jest na "mangle" i "filter". Dokonuje sie tu przesiewu pakietów które sa skierowane bezpośrednio do naszej maszyny lokalnej (najczęściej router).
- Nie wspomniałem jeszcze o OUTPUT. Jest to łańcuch przez ktory przechodzą pakiety wytworzone lokalnie na maszynie (router) i wychodzące na zewnątrz. Dzieli sie na "mangle", "nat" i "filter", które pełnią standardowe funkcje.
- Po tych wszystkich przebojach pakiety które przejdą trafiają w końcu na łańcuchy POSTROUTING, oczywiście równierz podzielone na "mangle" i "nat". Własnie tutaj zaleca się ewentualnie zmieniać adres nadawcy jeśli to konieczne.
Jak widzisz nie podam Ci gotowej reguły do wklepania, ale proponuję samemu podumać i przekonfigurować swój firewall w ten sposób by był jak najbardziej zabezpieczony i elastyczny na potrzeby konkretnego zastosowania - powodzenia
Mam nadzieję że ten mały wykładzik komuś sie przyda i trochę rozjaśni sposoby budowania reguł na firewallu opartym na jądrze Linuxa.
Oczywiscie mógł sie gdzies wedrzeć jakis błąd bo pisze to na szybko w pracy dzieląc uwage na kilka rzeczy, więc jeśli ktoś cos takiego zauważy to prosze o kontakt gg:11988.
Na inne pytania w miare możliwości czasowych i mentalnych
też mogę odpowiedzieć, ale oczywiście bez przesady
pozdrawiam
* -
http://www.pagdansk.pl/rozne/routing.jpg