[MLUG] radmin+iptables

Alexy Hammer srider на mail.ru
Пт Май 13 16:00:36 MSD 2005


Salavat Yarmukhametov wrote:

>	Разобрался. Спасибо всем за помощь. Вот так работает:
>================================================================
>iptables -F
>iptables -X
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>iptables -A INPUT -i eth0 -j ACCEPT
>iptables -A OUTPUT -o eth0 -j ACCEPT
>iptables -A FORWARD -o eth0 -j ACCEPT
>iptables -A FORWARD -i eth0 -j ACCEPT
>
>iptables -t nat -A PREROUTING -d $INET_IP -i eth1 -p tcp --dport 4899 -j DNAT --to-destination $RADMIN_IP:4899
>iptables -t nat -A POSTROUTING -p tcp -s ! $LOCAL_NET/24 -d $RADMIN_IP --dport 4899 -j SNAT --to-source $LOCAL_IP
>[...]
>
>как правильно прописать разрешать FORWARD только между $LOCAL_IP и
>$RADMIN_IP только по порту 4899?
>  
>

ну я б делал примерно так:
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -i eth1 -o eth0 -d $RADMIN_IP -m state 
--state NEW --dport 4899 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
в конце всё в LOG и DROP.

ну перед всем этим дропнуть NEW не syn пакеты для полной картинки :)

__
с уважением, алексей



Подробная информация о списке рассылки MLUG