Добрый день, этот вопрос я уже задовал ранее но
ответа на него не получи. Сейчас хочу его немногоконкретизировать.
Помогите разобраться.
Есть сеть 192.168.10.0
прокси 192.168.10.2 (со внешним концом смотрящим в нет)
Надо чтобы те кто в сети могли ходить на ружу, пинговать сервера
(Конкретно в проблемму встало открыть ping)
*nat
:PREROUTING DROP [542404:30127448]
:POSTROUTING ACCEPT [318711:19635341]
:OUTPUT ACCEPT [641897:39523307]
-A PREROUTING -s 192.168.10.0/255.255.255.0 -d 192.168.10.2 -p tcp -m multiport --dports squid,53,smtp,pop3,ssh,ftp -j ACCEPT
-A PREROUTING -p icmp -j ACCEPT
-A PREROUTING -s ВНЕШНИЙ_ИНЕТ -p tcp -m multiport --dports http -j ACCEPT
-A PREROUTING -d ПУЛ_ВНЕШНИХ_АДРЕСОВ/255.255.255.248 -i eth0 -p tcp -m multiport --dports domain,smtp -j ACCEPT
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -d ! 192.168.10.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ_АДРЕС
COMMIT
# Completed on Wed Dec 24 13:08:57 2003
# Generated by iptables-save v1.2.7a on Wed Dec 24 13:08:57 2003
*filter
:INPUT DROP [15151109:7428816801]
:FORWARD DROP [2:132]
:OUTPUT ACCEPT [17175817:7246767209]
:icmp_packets - [0:0]
-A INPUT -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 192.168.10.2 -d 192.168.10.0/255.255.255.0 -p tcp -m multiport --sports squid,pop3,smtp -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -d 192.168.10.2 -p tcp -m multiport --dports squid,pop3,smtp,ssh,ftp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A icmp_packets -p icmp -j ACCEPT
COMMIT
# Completed on Wed Dec 24 13:08:57 2003
ВОТ Это уже крайности, работать при них вродиб начало, но это
открывает комне полный доступ, а перекрывая их, мой днс не
отдает зону, а локальная сеть не может пинговать. ПОДСКАЖИТЕ
как правельно написать эти строки для моей сети :)
-A PREROUTING -p icmp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
Ответ на:
комментарий
от infinite
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.