[Comm] iptables rules?
Andrey Rybak
=?iso-8859-1?q?ra_=CE=C1_iop=2Ekiev=2Eua?=
Пт Мар 31 14:31:21 MSD 2006
Kaydannik Axel пишет:
> Вывод.
> Сделать что бы именно с этой машины порты ни на какой сквид не форвардились
>
> На будущее: мог бы и представить правила настроек файрвола, сквида и
> примерную топологию, а то - ей богу...
>
>
Предоставлял, но почему-то не дошло. Наверное рисунок схемы в аттачменте
размером больше допустимого. Попробую псевдографикой.
Правда, вижу, я в ней не силен. Посмотрю, как в рассылке будет. Надеюсь
переделывать не надо будет.
Схема в атачменте
На шлюзе (1.1.1.1)
в фаерволле
iptables -t nat -A PREROUTING -p TCP -d 3.3.3.3 --dport 80 -j DNAT
--to-destination 10.10.10.10:80
iptables -A FORWARD -p TCP -d 10.10.10.10/32 --dport 80 -j ACCEPT
iptables -A FORWARD -p TCP -s 10.10.10.1/32 --sport 80 -j ACCEPT
На сервере (серые адреса не за натом), через который проброс делается и
на котором прозрачный сквид (2.2.2.2)
в фаерволле
iptables -t nat -p TCP -A PREROUTING -s 0/0 -d 10.10.10.10/32 --dport 80
-j ACCEPT
iptables -p TCP -A INPUT -d 10.10.10.10/32 --dport 80 -j ACCEPT
iptables -p TCP -A OUTPUT -d 10.10.10.10/32 --dport 80 -j ACCEPT
в конфигурации сквида
acl myacl dst 10.10.10.10/32
http_access allow myacl
мир
|
---------------------------------------
шлюз
iptables
1.1.1.1
-----------------------------------------
| |
| |
------------------------ ------------------------
3.3.3.3 2.2.2.2
то, что переносим Здесь у меня iptables&squid
----------------------------------
-------------------------------
|
|
------------------------------
Серый адрес, куда надо перенести
10.10.10.10
-----------------------------
Подробная информация о списке рассылки community