Пробросить порт внутрь локалки и запретить доступ снаружи

0

0

Хочу сделать следующее:

Есть компьютер-гейт, slackware 12.1, с внешним адресом IP x.x.x.x и внутренним на wifi a.a.a.1

есть старый ноутбук 500/128, хочу запустить на нём live-версию knoppix, поднять там NX, соединиться по wifi с сервером с адреса a.a.a.2

хочу, чтобы все. кто снаружи обращался на x.x.x.x:2222, на самом деле попадали бы на a.a.a.2. хочу сделать это безо всякого шифрования, для снижения нагрузки

и хочу, чтобы попавшие туда юзеры вообще не видели ни сети ни каких либо сетевых интерфейсов, включая ip-адрес, т.е. всё, что было бы им доступно - это ip 127.0.0.1 и интерфейс lo.

подскажите, пожалуйста, как это сделать? и почему анонимусы не могут заводить топики?

Ссылка

←	БПФ в консоли

Live-дистрибутив с поддержкой русской локали

→

Хм.. юзеры должны залогиниться на ноут (видимо по сети, да?) и при этом не видеть сетевых подключений.. парадокс?

А так - почемубы не поднять на iptables редирект telnet - порта с внешнего x.x.x.x на a.a.a.2 ?

ierton ★★
(07.10.09 19:07:34 MSD)

Ответ на: комментарий от ierton 07.10.09 19:07:34 MSD

> и при этом не видеть сетевых подключений.. парадокс?

оно то меня и смущает. но может как то сделать, что eth0 доступен только руту? короче не хочется, чтобы виделся ip-адрес, и нельзя было вылезти с этого компьютера в локальную сеть.

> А так - почемубы не поднять на iptables редирект telnet - порта с внешнего x.x.x.x на a.a.a.2 ?

а как это выглядит на языке iptables? и это надо делать на одном компьютере или на обоих?

~~zh_zh_ru~~
(07.10.09 19:32:49 MSD) автор топика

Ссылка

подскажите, пожалуйста, как это сделать? и почему анонимусы не могут заводить топики?

тут не двач.

руководство по iptables

drull ★☆☆☆
(07.10.09 20:12:34 MSD)

Ответ на: комментарий от drull 07.10.09 20:12:34 MSD

w3m -dump | grep -i проброс | wc -l
0

w3m -dump | grep -i переадресация | wc -l
0

кто такой двач?

~~zh_zh_ru~~
(07.10.09 20:19:18 MSD) автор топика

Ответ на: комментарий от zh_zh_ru 07.10.09 20:19:18 MSD

w3m -dump | grep -i проброс | wc -l

причем тут браузер тем более без указания урла?

кто такой двач?

издеваешься?

просто прочти руководство по iptables с опеннета, тогда поймешь как пробрасывать порты и делать много других интересных вещей.

drull ★☆☆☆
(07.10.09 20:25:05 MSD)

Ответ на: комментарий от drull 07.10.09 20:25:05 MSD

вы серьёзно уверены, что все люди в мире знают, что такое двач? и им вообще это интересно?

~~zh_zh_ru~~
(07.10.09 20:26:40 MSD) автор топика

Ссылка

часть первая достигнута, rinetd помог

наступила часть вторая

~~zh_zh_ru~~
(07.10.09 20:50:30 MSD) автор топика

Ответ на: комментарий от zh_zh_ru 07.10.09 20:50:30 MSD

Гмгм, для "скрытия" факта присутствия сети нуно иметь в виду, что сетевые тулзы типа ifconfig узнают о параметрах сети с помощью системных вызовов ядра и файлов /proc/net/* . Если файлам к файлам хотябы теоретически и можно поназначать права, то как оно там в ядре - хз..

Можно поглядеть в сторону дистрибутивов с SELinux - там они политики безопасности на уровне ядра гибче сделали.. если время есть=)

ierton ★★
(07.10.09 23:54:07 MSD)

Ссылка

В ипитаблесах разрешаешь трафик, которым юзер попадает на комп, метишь пакеты для данного юзера и запрещаешь юзеру все, кроме того, что уже разрешено.

Интерфейс он увидит, но пользоваться им не сможет. И просканировать тоже ничего не сможет.

ansky ★★★★★
(08.10.09 03:55:28 MSD)

Ответ на: комментарий от ansky 08.10.09 03:55:28 MSD

man iptables по расширению --uid-owner

~~tux2002~~ ★
(08.10.09 16:16:05 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	БПФ в консоли

General

Live-дистрибутив с поддержкой русской локали

→

Похожие темы