[Comm] HELP! Проброс портов через файрволл с политикой DROP
=?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_socenter=2Eru?=
=?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_socenter=2Eru?=
Пт Сен 3 06:14:00 MSD 2004
Здравствуйте!
Есть файрволл, на котором на всех цепочках по-умолчанию политика DROP
Если мне нужно было какой-то сервис открыть, то я дописывал просто
соответствующие правила и все работало.
Но понадобилось пробросить порты с внешнего интерфейса во внутреннюю сетку.
$CLIENT_IP - ip клиента из внешней сети
$SERVER_IP - ip сервера из внутренней сети
$SERVICE - номер порта
$EXT_IF и $INT_IF = внешний и внутр интерфейсы файрволла
$EXT_IP - внешний ip файрволла
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -p tcp -s $CLIENT_IP -d $EXT_IP --dport $SERVICE -j DNAT --to $SERVER_IP:$SERVICE
Такая конструкция работает, если политики выставлены в ACCEPT
При DROP все это обламывается
Пробовал и в FORWARD прописывать
$IPTABLES -A FORWARD -i $INT_IF -o $EXT_IF -p TCP -s $SERVER_IP --sport $SERVICE -j ACCEPT
$IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p TCP -d $SERVER_IP --dport $SERVICE -j ACCEPT
и в INPUT-OUTPUT
$IPTABLES -A INPUT -i $EXT_IF -s $CLIENT_IP -p tcp -m tcp --dport $SERVICE -j ACCEPT
$IPTABLES -A INPUT -i $INT_IF -d $CLIENT_IP -p tcp -m tcp --sport $SERVICE -j ACCEPT
$IPTABLES -A OUTPUT -o $INT_IF -s $CLIENT_IP -p tcp -m tcp --dport $SERVICE -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT_IF -d $CLIENT_IP -p tcp -m tcp --sport $SERVICE -j ACCEPT
смотрел tcpdump на обоих интерфейсах - вроде все пакеты этими правилами перекрываются
Но все равно не работает.
Ничего не понимаю, помогите разобраться, пожалуйста!
--
No matter how subtle the wizard,
a knife in the shoulder blades will seriously cramp his style.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 307 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/community/attachments/20040903/e599da90/attachment-0003.bin>
Подробная информация о списке рассылки community