[mdk-re] Mandrake 7.2 routing question

Albert R. Valiev =?iso-8859-1?q?admin_=CE=C1_linux=2Em-radio=2Eru?=
Вс Янв 21 16:35:01 MSK 2001 

Я  уже  писал  сегодня  письмо,  но  похоже,  что  оно  не  прошло...  
в  общем  такая  ситуация:  машина  (LNX  MNDRK  7.2  -kernel  2.2.17) ,
на  ней  три  интерфейса  (ppp0,  eth0,  eth1).
ppp0  -  канал  в  инет.  eth1  - офисная  сетка,  eth0  -  сеть  с  серверами.
сама  машина,  как  уже  все  поняли,  маршрутизатор.
проблему  с  раутингом  я  решил,  осталась одна  проблема  -  а  именно:
сервера  во  второй  сетке не  имеют реальных  адресов, только  fake  (10.10.10.xxx). маршрутизатор  же  имеет несколько  реальных  адресов  и  по  идее  должен  перебрасывать  приходящие  на  определенный  адрес:порт  пакеты  в сетку  рами.  в  принципе  основно  сервер  имеет  неколько  реальных  адресов,  но  это и  неважно  -  мне  бы  осталось  настроить  только  редирект...  вот  мой  rc.firewall,  посмотрите,  если  что-то,  по  вашему,  криво,  посоветуйте,  что  тут  можно  сделать.  да,  ядро  скомпилировано  с  поддержкой  IP-masq,  ip-portfw,  ip-firewalling,  etc.  (со  всеми  опциями,  что  были  в  ip-msquared[  howto .  потому  как  я  сделал  все  вроде  бы  так,  как  нужно, точнее  так,  как  было  описано  в  howto,  но  ничего  не  вышло...  ладно  прокси  транспарентный  заработал  :))).

/etc/rc.d/rc.firewall  script:
---------------------------Cut  HERE------------------------------------------
# Mandrake-Security : if you remove this comment, remove the next line too.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/ip_masq_debug
echo 1 > /proc/sys/net/ipv4/ip_forward
ipmasqadm portfw -f
ipmasqadm portfw -a -P tcp -L 213.165.222.1 25 -R 10.10.10.11 25 -p 1
ipmasqadm portfw -a -P tcp -L 213.165.222.3 25 -R 10.10.10.12 25 -p 1
ipmasqadm portfw -a -P tcp -L 213.165.222.1 110 -R 10.10.10.11 110 -p 1
ipmasqadm portfw -a -P tcp -L 213.165.222.3 110 -R 10.10.10.12 110 -p 1
ipmasqadm portfw -a -P tcp -L 213.165.222.1 143 -R 10.10.10.11 143 -p 1
ipmasqadm portfw -a -P tcp -L 213.165.222.3 143 -R 10.10.10.12 143 -p 1
ipmasqadm portfw -a -P tcp -L 10.1.2.1 25 -R 10.10.10.11 25 -p 1
ipmasqadm portfw -a -P tcp -L 10.1.2.1 110 -R 10.10.10.11 110 -p 1
ipmasqadm portfw -a -P tcp -L 10.1.2.1 143 -R 10.10.10.11 143 -p 1
ipmasqadm portfw -a -P tcp -L 10.10.10.10 25 -R 10.10.10.11 25 -p 1
ipmasqadm portfw -a -P tcp -L 10.10.10.10 110 -R 10.10.10.11 110 -p 1
ipmasqadm portfw -a -P tcp -L 10.10.10.10 143 -R 10.10.10.11 143 -p 1
ipmasqadm portfw -a -P tcp -L 213.165.222.1 21 -R 10.10.10.11 21 -p 1
ipmasqadm portfw -a -P tcp -L 195.239.134.209 80 -R 10.10.10.11 80 -p 1
ipmasqadm portfw -a -P tcp -L 195.239.134.210 80 -R 10.10.10.12 80 -p 1

ipchains -M -S  7200 10 60

ipchains -F input
ipchains -F output
ipchains -F forward

ipchains -A input -i eth0 -s 195.239.134.0/255.255.255.240 -d 0.0.0.0/0 -j ACCEPT
ipchains -A input -i eth0 -s 10.10.10.0/24 -d 0.0.0.0/0 -j ACCEPT
ipchains -A input -i eth0 -s 213.165.222.0/255.255.255.224 -d 0.0.0.0/0 -j ACCEPT
ipchains -A input -i eth1 -s 10.1.2.0/24 -d 0.0.0.0/0 -j ACCEPT
ipchains -A input -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
ipchains -A input -i ppp0 -s 0.0.0.0/0 -j ACCEPT
ipchains -A input -i ppp1 -s 0.0.0.0/0 -j ACCEPT
ipchains -A input -i ppp0 -s 10.10.10.0/24 -j REJECT
ipchains -A input -i ppp0 -s 10.1.2.0/24 -j REJECT
ipchains -A input -i ppp1 -s 10.10.10.0/24 -j REJECT
ipchains -A input -i ppp1 -s 10.1.2.0/24 -j REJECT
ipchains -A input -i eth0 -p tcp -d 0.0.0.0/0 80 -j REDIRECT 3128
#ipchains -A input -i eth0 -p tcp -d 0.0.0.0/0 21 -j REDIRECT 3128
ipchains -A input -i eth1 -p tcp -d 0.0.0.0/0 80 -j REDIRECT 3128
#ipchains -A input -i eth1 -p tcp -d 0.0.0.0/0 21 -j REDIRECT 3128


ipchains -A output -i eth1 -s 213.165.222.3/255.255.255.255 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A output -i eth1 -s 213.165.222.1/255.255.255.255 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A output -i eth1 -p tcp -s 213.165.222.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A output -i eth1 -p udp -s 213.165.222.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A output -i eth1 -p tcp -s 10.10.10.11/255.255.255.255 25 -d 10.1.2.21/255.255.255.255 -j ACCEPT
ipchains -A output -i eth1 -p tcp -s 10.10.10.11/255.255.255.255 110 -d 10.1.2.21/255.255.255.255 -j ACCEPT
ipchains -A output -i eth1 -p tcp -s 10.10.10.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A output -i eth1 -p udp -s 10.10.10.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A output -i eth1 -s 10.10.10.5/255.255.255.255 -d 10.1.2.21/255.255.255.255 -j ACCEPT
ipchains -A output -i eth1 -s 213.165.222.5/255.255.255.255 -d 10.1.2.21/255.255.255.255 -j ACCEPT
ipchains -A output -s 0.0.0.0/0 -j ACCEPT

ipchains -A forward -s 10.10.10.0/24 -d 10.1.2.0/24 -j ACCEPT
ipchains -A forward -s 213.165.222.0/255.255.255.224  -d 10.1.2.0/24 -j ACCEPT
ipchains -A forward -s 195.239.134.0/255.255.255.240 -d 10.1.2.0/24 -j ACCEPT
ipchains -A forward -s 10.1.2.0/24 -d 213.165.222.0/255.255.255.224 -j ACCEPT
ipchains -A forward -s 195.239.134.0/255.255.255.240 -d 0.0.0.0/0 -j ACCEPT
ipchains -A forward -s 213.165.222.0/255.255.255.224  -d 0.0.0.0/0 -j ACCEPT

ipchains -A forward -s 213.165.222.3/255.255.255.255 -d  10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A forward -s 213.165.222.1/255.255.255.255 -d  10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A forward -s 0.0.0.0/0 -d 195.239.134.0/28 -j ACCEPT
ipchains -A forward -s 0.0.0.0/0 -d 213.165.222.0/27 -j ACCEPT
ipchains -A forward -p tcp -s 213.165.222.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A forward -p udp -s 213.165.222.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A forward -p tcp -s 10.10.10.11/255.255.255.255 25 -d 10.1.2.21/255.255.255.255 -j ACCEPT
ipchains -A forward -p tcp -s 10.10.10.11/255.255.255.255 110 -d 10.1.2.21/255.255.255.255 -j ACCEPT
ipchains -A forward -p tcp -s 10.10.10.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A forward -p udp -s 10.10.10.5/255.255.255.255 53 -d 10.1.2.0/255.255.255.0 -j ACCEPT
ipchains -A forward -s 10.10.10.5/255.255.255.255 -d 10.1.2.21/255.255.255.255 -j ACCEPT
ipchains -A forward -s 213.165.222.5/255.255.255.255 -d 10.1.2.21/255.255.255.255 -j ACCEPT

ipchains -A forward -s 10.10.10.0/24 -d 0.0.0.0/0 -j MASQ
ipchains -A forward -s 10.1.2.0/24 -d 0.0.0.0/0 -j MASQ
---------------------------Cut  HERE------------------------------------------
да,  по  ходу  дела,  так  сказать,  еще  вопросик  -  transparent proxy  -  он  только  для  http,  и  все?  а  возможно  ли  ftp  также  пустить?

С  наилучшими  пожеланиями,  Альберт  Валиев

Подробная информация о списке рассылки community