LINUX.ORG.RU
ФорумAdmin

MASQ косметический вопросик


0

0

Нужно закрыть доступ на одну машину в интернете для всех машин в сети кроме самого сервера . Т.е. юзвери в сети немогут туда зайти на машину скажем 1.1.1.1 в интернете , а сам сервер чтобы мог . Причем закрыть надо через маскарадинг , чтобы пакеты на машину 1.1.1.1 не маскарадились а откидывались , через ipchains input/output непойдет так как тогда на сам сервак пакеты непридут :( . На сервере 3 интерфейса eth , один в интернет смотрит , на остальных сидят подсетки юзверей .

Просветите несчастного , а то народ может узнать проксяки какие я юзаю :( и сам на них сядет , и тада пойдет левый траф и небудут работать ограничения :( . Моя прокся слинкована с кучей других проксей , нужно както защитится от такого нехорошего дела ...

Заранее спасиба ...

anonymous
Непонятная ошибка в скрипте
WWW, FTP сервер + FIREWALL

зачем же MASQ тебе надо закрыть input/output

делаеш следуующее учитывая что (eth0-1 user net) eth2 -> inet

ipchains -A input eth0 ! -s (src gateway) -d 1.1.1.1 -j DENY

ipchains -A input eth1 ! -s (src gateway) -d 1.1.1.1 -j DENY

мож я че напутал (так это новый год так прошел ) :)

swop
()

Не чуть-чуть подправим, пишем так ipchains -A input -i eth1 -d 1.1.1.1/32 -j DENY, расшифровываю - усе пакеты пришедшие через интерфейс eth1 для машины 1.1.1.1, мягко говоря посылаем на .....

anonymous
()

лучше не DENY а REJECT - так круче выходит :-)) тогда то что посылает пакеты будет иметь черную дыру - ни ответа ни привета- пакеты валятся в ж....

anonymous
()

Сорри- позвольте добавить мои 2 цента:<BR>
Я так думаю что должно быть быть 2 правила<br>
1)ipchains -A input eth1 -s good_comp -d 1.1.1.1 -j ALLOW <BR>
2)ipchains -A input eth1 -d 1.1.1.1 -j REJECT <BR>
тогда если пришел пакет с хорошой машины (good_comp) то прыжок на ALLOW и все гуд, иначе следующее правило посылает пакет в ж... Разумеется good_comp поменять на айпи того самого ящика.


anonymous
()


Мужики, вы чего паритесь....
> через ipchains input/output непойдет так как тогда на сам сервак пакеты непридут :(

А кто мешает ipchains forward юзать ?

Например, так:

ipchains -A forward -s 1.1.1.1 -j REJECT -b

а параметр -b нужен чтобы пакеты ни туда ни оттуда не ходили.

RTFM
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Непонятная ошибка в скрипте
Admin
WWW, FTP сервер + FIREWALL