помогите пожалуйста....
хотелось бы предоставить доступ в интернет для сетей
(192.168.1.0 eth1) и сети (169.254.1.0 - eth0)
как должны выглядить правила ipchains,
чтобы подсеть 192.168.1.0 качала с firewall(192.168.112.100),
а подсеть 169.254.1.0 с firewall(169.254.1.100)
если defaults geteway 169.254.1.100 0.0.0.0 UG 0 0 0 eth0
добавил еше и defaults geteway firewall(192.168.112.100), но толку мало...
LINUX RH 7.2 + SQUID + IPCHIAINS + 2 аппаратных firewall
vot nabor pravil pod iptables zakidivaesh v textovik, zapuskaesh bash-om
i router s nat-om gotov.. =)
#!/bin/bash
# (1)Policies (default)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#(2)Input chain rules
#rules fo incommin packages from LAN
iptables -A INPUT -p ALL -i eth0 -s 192.168.0.0/8 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 195.225.246.110 -j ACCEPT
iptables -A INPUT -p ALL -i eth0 -d 192.168.0.255 -j ACCEPT
#Packets from internet
iptables -A INPUT -p ALL -d 195.225.246.110 -m state --state ESTABLISHED,RELATED -j ACCEPT
#TCP rules
iptables -A INPUT -p TCP -i eth1 -s 195.225.246.110/255.255.255.255 --destination-port 22 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 21 -j ACCEPT
#UDP rules
#For dns
iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 53 -j ACCEPT
#icq
iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 4000 -j ACCEPT
#ICMP rules
iptables -A INPUT -p ICMP -i eth1 -s 0/0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth1 -s 0/0 --icmp-type 11 -j ACCEPT
#Forward cains
#Accept packages we want to forward
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Output chain rules
#Only output packages with local adresses (no spoofing)
iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 195.225.246.110 -j ACCEPT
tak je tut predusmatrivaetsia 4to u tebia na 21-m porte stoiti ftp=)
podstroi ego pod sebia tut kak vidish =) 2 interfeisa odin na lokalku, drugoi v i-net no ot primera vsegda leg4e ottalkivatsia
nadeiusi pomojet...
i router s nat-om gotov.. =)
#!/bin/bash
# (1)Policies (default)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#(2)Input chain rules
#rules fo incommin packages from LAN
iptables -A INPUT -p ALL -i eth0 -s 192.168.0.0/8 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 195.225.246.110 -j ACCEPT
iptables -A INPUT -p ALL -i eth0 -d 192.168.0.255 -j ACCEPT
#Packets from internet
iptables -A INPUT -p ALL -d 195.225.246.110 -m state --state ESTABLISHED,RELATED -j ACCEPT
#TCP rules
iptables -A INPUT -p TCP -i eth1 -s 195.225.246.110/255.255.255.255 --destination-port 22 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 21 -j ACCEPT
#UDP rules
#For dns
iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 53 -j ACCEPT
#icq
iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 4000 -j ACCEPT
#ICMP rules
iptables -A INPUT -p ICMP -i eth1 -s 0/0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth1 -s 0/0 --icmp-type 11 -j ACCEPT
#Forward cains
#Accept packages we want to forward
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Output chain rules
#Only output packages with local adresses (no spoofing)
iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 195.225.246.110 -j ACCEPT
tak je tut predusmatrivaetsia 4to u tebia na 21-m porte stoiti ftp=)
podstroi ego pod sebia tut kak vidish =) 2 interfeisa odin na lokalku, drugoi v i-net no ot primera vsegda leg4e ottalkivatsia
nadeiusi pomojet...
-
Anonymous
-
Anonymous
красивые какие циферки и буковки
т.е. получается, что у тебя 2 сетевухи.... 1 в локалку, а вторая смотрит в инте... а вот у меня 2 шлюза на 2 подсети.... с одной инет качает, а с другой подсети тоже качает но только с одного шлюза!
может у кого-нить есть реальные примеры как настроить ip-chains для 2 подсетей с выходом в интернет через аппаратные firewall's....
у меня вроде как работает, правда 2 firewall остается незадействованный, и трафик по нему не проходит, но деньги снимают
т.е. получается, что у тебя 2 сетевухи.... 1 в локалку, а вторая смотрит в инте... а вот у меня 2 шлюза на 2 подсети.... с одной инет качает, а с другой подсети тоже качает но только с одного шлюза!
может у кого-нить есть реальные примеры как настроить ip-chains для 2 подсетей с выходом в интернет через аппаратные firewall's....
у меня вроде как работает, правда 2 firewall остается незадействованный, и трафик по нему не проходит, но деньги снимают
