LINUX.ORG.RU
ФорумAdmin

iptables & snat/masquerading


0

0

Если, находясь во внешней локалке моего рутера, выставить в качестве гейта мой рутер, можно получить доступ к моим внутренним машинам. Как сделать, чтобы снаружи не были видны мои внутренние машины?

anonymous

Ну и еще мне не нравится, что внешние машины через меня могут отсылать пакеты во внешнюю сеть.

anonymous
()
Ответ на: комментарий от anonymous

Хочу чтобы даже пинги снаружи вовнутрь не работали.

anonymous
()
Ответ на: комментарий от anonymous

Да могут. Ситуация напоминает сказку о золотой рыбке.

>Как сделать, чтобы снаружи не были видны мои внутренние машины? >Ну и еще мне не нравится, что внешние машины через меня могут отсылать пакеты во внешнюю сеть. >Хочу чтобы даже пинги снаружи вовнутрь не работали.

Смотри чтобы юзеры не отобрали рутер :))

hzk
()
Ответ на: комментарий от anonymous

лана, я седня добрый. но iptables-manual всё равно читай.
вместо 192.168.0.0/24 естественно надо подставить свою внутренню локалку. во избежания зафлуживания логов оные строчки закомменчены


# это шобы всякая падла не лезла брутить ssh
# за три конекта на ssh в течении одной минуты банит ( вроде тоже на минуту )
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j LOG --log-level alert --log-prefix "c00l-h4cker detected: " --log-ip-options
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j REJECT

# в /etc/protectport пишем порты, на которые ходить снаружи низя
for port in $(cat /etc/protectport)
do
    #iptables -A INPUT -p tcp --dport $port --source '!' 192.168.0.0/24 -j LOG --log-level alert --log-prefix "c00l-h4cker " --log-ip-options --log-tcp-options
    iptables -A INPUT -p tcp --dport $port --source '!' 192.168.0.0/24 -j REJECT
done

# в /etc/bannedip пишем забаненые насмерть ипшники
for ip in $(cat /etc/bannedip)
do
    #iptables -A INPUT --source $ip -j LOG --log-level alert --log-prefix "banned ip "
    iptables -A INPUT --source $ip -j DROP
done

Muromec ☆☆
()
Ответ на: комментарий от Muromec

>iptables -A FORWARD --source '!' 192.168.0.0/24 -j REJECT

Теперь я не могу зайти с рутера на внутреннюю машину по SSH, если правило удалить - все работает...

anonymous
()

покажите вывод следующих комманд (в "user line breaks"):
# iptables -nL
# iptables -nL -t nat
# route -n

какая у вас внешняя подсеть, какая внутреняя (адреса)?

samson ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.