[LUGOS] firewall

[Jaka Močnik]

On Sat, 2005-02-19 at 14:58 +0100, Matjaž Repnik wrote:
> Dan,
dan!

> Torej imam en problem s firewalom, namreč na glavnem routerju imam
> postavljen firewal. S ukazom [0:0] -A PREROUTING -d 193.77.XXX.XXX -p
> tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80 bi želel
> preusmeriti ves promet na mašino s ip jem 192.168.0.6. Na tej mašini
> lavfa httpd servis. Tisti ukaz nekaj ne deluje pa ne bi vedel v čem je
> problem.
če govoriva o linuxu >=2.4 z iptables, potem zgornje pravilo v
prerouting verigi v NAT tabeli le naredi Destination-NAT na ustreznih
paketih, ne pove pa iptables, da naj tovrstne pakete potem pošljejo
naprej (glede na to, da govoriš o požarnem zidu, je verjetno privzeto
pravilo na FORWARD verigi DROP ali REJECT). za posredovanje HTTP paketov
v notranje omrežje bi recimo uporabil naslednji pravili (ob
predpostavki, da je javni mrežni vmesnik ppp0, mrežni vmesnik do
notranje mreže pa eth1):

IPT=/sbin/iptables
PUB_IP=193.77.XXX.XXX
INT_IP=192.168.0.6
PUB_IF=ppp0
INT_IF=eth1
$IPT -t nat -A PREROUTING -p tcp -d $PUB_IP --dport 80 -j DNAT --to-destination $INT_IP:80
$IPT -A FORWARD -i $PUB_IF -o $INT_IF -p tcp -d $INT_IP --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

zgornja ukaza pripneta pravili na *konec* omenjenih verig, zato moraš
paziti, da prejšnja pravila ne obdelujejo teh paketov in da privzeto
pravilo (DROP/REJECT) dodaš kasneje!

lp,
	jaKa

-- 
e-mail: jaka at gnu.org
w3:     http://fish.homeunix.org/people/jaka/