[Comm] HELP! Проброс портов через файрволл с политикой DROP

[Ivan Fedorov]

Alexey Morsov пишет:

>>> Я правильно понял - надо чтобы кто-то из интернета (внешней сети)
>>>  мог подключаться (т.е. инициировать соединение) к некой вашей машине
>>> в локальной сетке (т.е. в фейковом пространстве адресов)?
>>
>>
>>
>> Да, все так и есть.
> 
> Э... у меня нет уверенности что такое реализуемо (может я и не прав - но
> тогда это должно как-то решаться в nat)
iptables -t nat -A PREROUTING  -p tcp --destination-port 25 -j DNAT
--to-destination 192.168.0.1:25
>> :OUTPUT DROP [3:368]
> 
> А вот это не очень - зачем?
Это называется паранойя - профессиональное заболевание всех безопасников.

> А client куда будет посулать запросы то? на какой адрес? На ваш реальный
> ip? Если да - и если с этого ip ничего больше ходить не может (а еще
> лучше если у них какой-то свой порт) - то тогда точно в nat -
> анализировать порт и source ip и менять его dest ip с вашего реального
> на тот ваш fake ip который нужен - кажеться это в iptables doc
> называеться DNAT - см. opennet.ru - я таким извратом к счастью не
> занимался так что только теория (у меня слава богу никаких несуразных
> просьб ходить ко мне в локалку из инета не поступало).
Все просто...
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20040903/20e61f63/attachment-0002.bin>