[mdk-re] Интернетзащита

[Maxim Savrilov]

Yuri Ryazantsev wrote:

> Помогите решить следующую задачу (я ее решил, но очень криво):
> local network---->eth0--->|firewall|--->eth1--->Internet
>
> Для простоты маскарадинга нет и в локальной сети реальные IP.
> Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
> кроме firewall. А на нее доступ по ssh только с определенной машины из
> локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP no
> route to host (REJECT в ipchains). Понятна проблема: при forward пакетов
> проходится и цепочка input.

ipchains -A input -s 0.0.0.0/0.0.0.0 -d firewall 22:22 -p 6 -i eth1 -j REJECT
ipchains -A input -s ! local_machine -d firewall 22:22 -p 6 -i eth0 -j REJECT


Другое дело, как это увяжется со остальными правилами на вашем firewall...

И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny