=?iso-8859-1?q?=5Bmdk-re=5D_=E9=CE=D4=C5=D2=CE=C5=D4=DA=C1=DD=C9=D4=C1?=

[Yuri Ryazantsev]

On Mon, May 14, 2001 at 10:23:37PM +0400, Sergei wrote:

> У firewall есть 3 цепочки по умолчанию:
> input - туда пакет попадает при приходе на твою машину
> forward - при передаче пакета с одного сетевого интерфейса на другой на твоей 
> 	машине.
> output  - при передаче пакета от твоей машины
> Можно определить свои цепочки.
> У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
> Если пакет движется так:
> ---->eth0--->|твоя машина|--->eth1--->
> то проходишь через все три цепочки по-очереди.

Помогите решить следующую задачу (я ее решил, но очень криво):
local network---->eth0--->|firewall|--->eth1--->Internet

Для простоты маскарадинга нет и в локальной сети реальные IP.
Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
кроме firewall. А на нее доступ по ssh только с определенной машины из
локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP no
route to host (REJECT в ipchains). Понятна проблема: при forward пакетов
проходится и цепочка input.

with best wishes,

Yuri.