LINUX.ORG.RU
ФорумAdmin

интернет шлюз+sams примерные настройки iptables


0

1

есть eth0 - интернет eth1 - локалка squid+sams подняты,форвардинг разрешен

есть eth0 - интернет 
eth1 - локалка 


#этот модуль позволяет работать с ftp в пассивном режиме
modprobe nf_conntrack_ftp
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#включение логов iptables
#iptables -I OUTPUT -o eth0 -j LOG
#префиксы сообщений iptables
#iptables -A INPUT -p tcp  -j LOG --log-prefix "input tcp"
#iptables -A INPUT -p icmp -j LOG --log-prefix "input icmp"
#логи входящих tcp udp icmp
#iptables -A INPUT -j LOG --log-level 4


#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT
#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT
#разрешаем любые входящие и исходящие по icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#разрешаем доступ из сети на порты #21(ftp),22(ssh),53(dns),9999(внутрисетевой репозитраий),110 #и 143 - pop3 smtp, 995 и 993 - pops smtps
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 25,80,8080,22,110,143,995,993,3128 -j ACCEPT

#заварачиваем веб трафик на проксик
iptables -t nat -A PREROUTING -s 192.168.3.0/24 -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

#Включаем маскарадинг трафика 

iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT 
#(этой командой вы разрешили прохождение пакетов между #сетевыми интерфейсами из локальной сети 192.168.0.0/24) 
iptables -A FORWARD -d 192.168.3.0/24 -j ACCEPT 
#(этой командой вы разрешили прохождение пакетов между #сетевыми интерфейсами в локальную сеть 192.168.3.0/24) 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.3.0/24 -j MASQUERADE 
#(и последняя команда - ей вы включили маскарад для сети #192.168.3.0/24). 

Насколько я понял чтобы дать доступ тачкам из локальной сети в нет нужно заменить их ip на 1 внешний полученый от правайдера , т.е. заюзать маскарадинг

Вопрос правильно ли я маскаражу пакеты , ведь для http трафика мне необходимо чтобы компы ходили в нет через проксик ? Тоесть всю сеть! может имеет смысл делать это толь ко для порта 3128 проксика, кудая я завернуш http трафик из сети ?

★★

Последнее исправление: drac753 (всего исправлений: 2)

Если ты делаешь прокси сервер - тебе маскарадить ничего НЕ НУЖНО. Прокси в переводе с английского - представитель. То есть - твои клиенты приходят к прокси и говорят: дорогой прокси, хочу главную страницу ya.ru, прокси такой: ща, я посмотрю можно тебе или нет. Если можно, посмотрит её в кеше, если там её нет, то он от СВОЕГО имени сходит на ya.ru, и от СВОЕГО имени отдаст её клиенту. То есть при прокси сервере тебе нат не нужен.

DALDON ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.