[Sysadmins] iptables трансляция протокола

"Дворников М.В." =?iso-8859-1?q?m=5Fdvor_=CE=C1_soc=2Eadm=2Eyar=2Eru?=
Пн Июл 3 15:56:27 MSD 2006


Dmitriy L. Kruglikov пишет:
> On Mon, 03 Jul 2006 14:47:08 +0400
> Дворников М.В. wrote:
> 
>> Первая команда разрешает трансляцию для всех портов и
>> протоколов? Наверно это не очень хорошо.
> Если имеется в виду 
> $IPTABLES -t nat  -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP
> То это всего лишь NAT ...
> Будет транслировано все, что будет разрешено последующими правилами ...

/etc/sysconfig/iptables
*nat
:PREROUTING ACCEPT [49:10802]
:POSTROUTING ACCEPT [11:1372]
:OUTPUT ACCEPT [4:215]

# proxy
-A PREROUTING -s 10.X/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT 
--to-ports 3128

# kazna
-A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT --to-source 193.X

*filter
:INPUT ACCEPT [427:75757]
:FORWARD ACCEPT [31:4358]
:OUTPUT ACCEPT [347:154782]

-A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Сейчас iptables использовался только для прозрачного прокси.
Если так напишу, строки с FORWARD будут влиять или все и так разрешено?
Давно хотел переписать все правила правильно (file.sh).
На шлюзе много всяких сервисов и боюсь не осилю.
-- 
С уважением, Дворников Михаил.



Подробная информация о списке рассылки Sysadmins