[Comm] NAT
Pavel S. Khmelinsky
=?iso-8859-1?q?hmepas_=CE=C1_yauza=2Eru?=
Пн Окт 20 17:11:41 MSD 2003
Oleg Frolkov wrote:
> Hello,
>
> Подскажите плиз. Возможно-ли с помощью iptables разрешить для определенных
> ip адресов только исходящие соединения? т.е. чтобы снаружи на
> эти компы не пускалась ни какая дрянь, а изнутри можно было
> соединяться.
>
> В общем хватило-бы NAT-а, но требуется для каждого копьютера реальный
> ip адрес, однако боязно виндам раздавать реальные ip видя сколько атак
> приходит на роутер чуть-ли не раз в 30-40 секунд....
>
> Можно конечно завести определенный диапазон внутренних адресов и
> несколькими записями в postroute каждый натить через реальный ip,
> но это как-то кривовато, может есть более правильный способ?
Боюсь без NAT того что вы хотите сделать не получится. Можно
попробовать просто закрыть все порты с 1-1024 в цепочке форвард
на все Ваши виндовые машины, например так.
for ip in $WIN_HOSTS; do
iptables -I FORWARD -p tcp --dport '1-1024' -o $in_if -i $out_if
-j DROP
done
Где
$WIN_HOSTS список виндовых машин
$if_in внутренний и-фейс, тот самый на котором висят виндовые машины
$if_out внешний и-фейс с выходом в инет.
Помоему так, хотя я не пробовал.
Подробная информация о списке рассылки community