Доброго времени суток, уважаемые линуксовые спецы. Основной моей головной болью на данный момент является настройка файервола. Пользуюсь OpenSuSE 11.2 под KDE. Коллеги после наитупейшего виндос сервера никак не вьеду в форвардинг никсов. как че тут устроено - вьезжаю медленно, но ударными темпами))) Штатный фаервол хоть и хорош, но все таки каждый админ должОн написать своё). Перечитал пол инета, так и не понял откуда нога растет. Да я пока нуб,лол и еще куча всего)) Надеюсь на вашу помощь, ибо форумы придуманы для таких как я.
Знач имею например: eth0 - 192.168.1.2 - inet eth1 - 192.168.0.1 - lan ну скажем клиент 192.168.0.111.
че хочу: 1).открыть например порт 80 на хттп и поп+смтп на 110 и 25 у eth0 - внешняя сетевка (по умолчанию остальные все закрыты).
2). дальше дать инет клиенту чтобы он мог лазить только через эти порты сетевки eth1 в инет и никак больше.
Господа перепробовал целый вагон скриптов, шевелил мозгами, пытался разобраться с бутылкой в помощь. так и не понял)) то все нафиг закрывается. то все открыто лазь где хошь.
Скрипт:
/sbin/depmod -a
/sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ipt_owner /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc
echo «1» > /proc/sys/net/ipv4/ip_forward
$IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t nat -F $IPTABLES -X
Ставлю по умолчанию все закрытым
$IPTABLES -P FORWARD DROP $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP
Открываю порт под прием и отправку на 80,25,110
$IPTABLES -A INPUT -p tcp -d 192.168.1.2 --sport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 192.168.1.2 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d 192.168.1.2 --sport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 192.168.1.2 --dport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d 192.168.1.2 --sport 110 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 192.168.1.2 --dport 110 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
А как дальше клиенту размаскарадить инет? Как это сделать безопаснее всего? ЧТоб клиент и качал и отправлял только через эти порты на сетевке eth0, а все остальное для него было бы закрыто.
Только пожалуйста не надо давать кучу ссылок. Если не трудно напишите простой пример кода че дальше должно быть, дальше я уж сам накручу. Очень надеюсь на помощь. А лучше в асю 370 608 982 с пометкой iptables. Заранее благодарю. Очень буду рад побеседовать
