LINUX.ORG.RU
ФорумAdmin

iptables - Открыть полный доступ между двумя сетками.


0

0

Есть две сетки с белыми IP. До этого времени они работали отдельно и доступ к ресурсам с одной сетки на другую был не нужен.

Но сейчас надо сделать доступ к русурсам из одной сети в другой.
В принцепи разрешить между ними надо _всё_ !

Надо между ними разрешить форвард.

настройки iptables:

lan1 = 212.1.1.0/25
lan2 = 212.2.2.0/25
iptables -A FORWARD -s $lan1 -j ACCEPT - это для шлюза на lan2
iptables -A FORWARD -s $lan2 -j ACCEPT - это для шлюза на lan1

при таких настройках можно пинговать компы из одной сети в другую и обратно. Но зайти на то же апач, чт установлен внутри сети не получается!!!!! Но в то же время, если прописать следующее правило:

iptables -A FORWARD -p TCP -d 212.1.1.10 --dport 80 -j ACCEPT

то доступ на апач есть!!!!

Почему так происходит?

anonymous
Ответ на: комментарий от PUZO

Если так сделать то все ок, но мне такой открытости не надо... надо что б в FORWARD было всё хорошо...

В FORWARDE и првил то нет.. вот :
iptables -A FORWARD -i eth1 -o eth0 - j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

вот и все правила...

anonymous
()
Ответ на: комментарий от anonymous

> iptables -A FORWARD -i eth1 -o eth0 - j ACCEPT

что есть 'eth1' и 'eth0'? если это то, что я думаю, поставь после этого правила

iptables -A FORWARD -i eth0 -o eth1 -s 212.2.2.0/25 - j ACCEPT

на lan1, ну и соответственно

iptables -A FORWARD -i eth0 -o eth1 -s 212.1.1.0/25 - j ACCEPT

на lan2

berrywizard ★★★★★
()
Ответ на: комментарий от PUZO

Не путаемся. Дальнейшие правила влиять тут не могут. Только те, что были _до_ этого правила.

Valmont ★★★
()
Ответ на: комментарий от berrywizard


>что есть 'eth1' и 'eth0'? если это то, что я думаю, поставь после этого правила

eth0 - смотрит в инет
eth1 - смотрит в локалку

>iptables -A FORWARD -i eth0 -o eth1 -s 212.2.2.0/25 - j ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -s 212.1.1.0/25 - j ACCEPT

эти правила не помогают

anonymous
()
Ответ на: комментарий от anonymous

[root@iserver sysconfig]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Thu Jan 10 18:51:41 2008
*filter
:INPUT DROP [4224:344932]
:FORWARD DROP [240207:11958460]
:OUTPUT ACCEPT [2977375:1845816991]
-A INPUT -p icmp -m limit --limit 3/sec --limit-burst 6 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -s 212.2.2.0/255.255.255.128 -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 212.1.1.0/255.255.255.128 -d 212.2.2.0/255.255.255.128 -i eth0 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 2106 -j ACCEPT
-A FORWARD -d 212.2.2.30 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p udp -m udp --dport 27016 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p udp -m udp --dport 27017 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 27020:27039 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6112 -j ACCEPT
-A FORWARD -p udp -m udp --dport 6112 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Jan 10 18:51:41 2008
# Generated by iptables-save v1.3.8 on Thu Jan 10 18:51:41 2008
*nat
:PREROUTING ACCEPT [718657:38512694]
:POSTROUTING ACCEPT [509873:26271170]
:OUTPUT ACCEPT [74645:4489646]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 2121
COMMIT
# Completed on Thu Jan 10 18:51:41 2008
# Generated by iptables-save v1.3.8 on Thu Jan 10 18:51:41 2008
*mangle
:PREROUTING ACCEPT [30158604:4146521438]
:INPUT ACCEPT [2834065:1833380936]
:FORWARD ACCEPT [27288858:2309311972]
:OUTPUT ACCEPT [2977773:1846359831]
:POSTROUTING ACCEPT [30026113:4143698931]
COMMIT
# Completed on Thu Jan 10 18:51:41 2008
[root@iserver sysconfig]#

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.