1:1 NAT

 ( atlantic | 2004. szeptember 4., szombat - 18:51 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Sziasztok,

adott egy szerver, amelyben van két eth iface és egy alias eth0:1:

auto eth0
iface eth0 inet static
address 1.2.3.4
netmask 255.255.255.0
network 1.2.3.0
broadcast 1.2.3.255
gateway 1.2.3.60

auto eth0:1
iface eth0:1 inet static
address 1.2.3.5
netmask 255.255.255.0

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

A gépen jelenleg a következő tűzfalláncok érvényesek:

# Generated by iptables-save v1.2.6a on Sun Mar 28 13:06:25 2004
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A PREROUTING -d 1.2.3.4 -i eth0 -p tcp -m tcp --dport 3000 -j DNAT --to-destinatio
n egy.masik.gep.ipje:22
[0:0] -A PREROUTING -d 1.2.3.4 -i eth0 -p tcp -m tcp --dport 1909 -j DNAT --to-destinatio
n egy.harmadik.gep.ipje:22
[0:0] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 28 13:06:25 2004
# Generated by iptables-save v1.2.6a on Sun Mar 28 13:06:25 2004
*mangle
:PREROUTING ACCEPT [29:1568]
:INPUT ACCEPT [27:1480]
:FORWARD ACCEPT [2:88]
:OUTPUT ACCEPT [21:1332]
:POSTROUTING ACCEPT [22:1380]
COMMIT
# Completed on Sun Mar 28 13:06:25 2004
# Generated by iptables-save v1.2.6a on Sun Mar 28 13:06:25 2004
*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:40]
:OUTPUT ACCEPT [20:1232]
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 123 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --dport 123 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --dport 161 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --dport 162 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 137 -j ACCEPT
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 138 -j ACCEPT
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 138 -j ACCEPT
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 139 -j ACCEPT
[0:0] -A INPUT -s 172.17.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
[0:0] -A INPUT -s 172.17.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -s 172.18.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
[0:0] -A INPUT -s 172.18.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
[27:1480] -A INPUT -p tcp -m tcp --dport 666 -j ACCEPT
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 901 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -p icmp -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 666 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 113 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 143 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 465 -j ACCEPT
[0:0] -A FORWARD -i eth1 -p tcp -m tcp --dport 901 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 20 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 524 -j ACCEPT
[0:0] -A FORWARD -p udp -m udp --dport 524 -j ACCEPT
[0:0] -A FORWARD -p udp -m udp --dport 123 -j ACCEPT
[0:0] -A FORWARD -p udp -m udp --dport 427 -j ACCEPT
[0:0] -A FORWARD -p tcp -m tcp --dport 427 -j ACCEPT
[1:48] -A FORWARD -p tcp -m tcp --dport 1024:65535 -j ACCEPT
[0:0] -A FORWARD -p udp -m udp --dport 1024:65535 -j ACCEPT
[0:0] -A FORWARD -p icmp -j ACCEPT
COMMIT
# Completed on Sun Mar 28 13:06:25 2004

Milyen tűzfalláncok kellenek, hogy a 172.18.3.166/255.255.255.0 gepnek 1:1 NAT-oljon, hova kell a fenti láncok közé beilleszteni, és mit kell beállítani a natolt gépnek (elég átjárónak a szerver ipcímét megadni?). Esetleg kellenek route parancsok?

Válaszokat előre is köszönöm!