forum.opennet.ru

Составление сообщения

Исходное сообщение

"вопрос по прохождению пакета"
Отправлено CHIM, 22-Мрт-11 14:05

> значит сделайте 2 правила с указанием этих адресов
Сделал.
>> Это уже сделано:
>>> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> Это уже сделано для интерфейса eth0 так только он имеет право пользоваться
>> этими портами:
>>> -A OUTPUT -p udp -dport 53 -j ACCEPT
>>> -A OUTPUT -p tcp -dport 80 -m state --state NEW -j ACCEPT
>> Это уже сделано для соответствующих подсетей и отдельных адресов остальным доступ запрещён:
> для каких еще подсетей и отдельных адресов, если это OUTPUT , то
> есть то что уходит со шлюза, а не из локалки
В принципе согласен. Всё что не нужно я уже обрубил на FORWARD и INPUT.
>[оверквотинг удален]
>>>> inet_ip - удалённый получатель данных(тот кому мы передаём на порт 5000)
>>>> 94.100.191.204 - mail.ru
>>> какой удаленный получатель, там ваш внешний ip должен быть
>>> -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip
>>> вся фильтрация будет потом в таблице фильтров
>> Чё то я не понял...
>> Получается чтобы перенаправить порт 5000 на inet_ip его ненужно нигде прописывать???
> ну вроде писАл "-o внешний_интерфейс" - который на провайдера смотрит
>> Если так то правильной ли будет запись
>> -A POSTROUTING -o eth2 -s 192.168.10.3 -j SNAT my_inet_ip
А зачем мне натить весь интерфейс поключённый к модему если у меня весь нэт заворачивается на порты прокси? Разве мне не достаточно пропустить натом порт 5000?
> с какого ... так правильней? если eth2 смотрит на 192.168.10.3, то зачем
> на нем snat.
> snat - нужен на внешнем интерфейсе, что бы пакеты из вашей серой
> сети в инет вышли с белым ip.
Для простого доступа в инет у меня прокси настроен.
> если укажите -s 192.168.10.3, то snat будет только для пакетов от 192.168.10.3,
> а нужно для всех кто идет в инет, поэтому еще раз
> повторяю:
> -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip, и не более
В том то и дело что не для всех а только для него. Нужно именно этому IP дать доступ в интернет по произвольному порту 3000-4000 на машину в интернете на порт 5000

P.S. Большое спасибо вам за ответы и ваше терпение.

Исходное сообщение
"вопрос по прохождению пакета" Отправлено CHIM, 22-Мрт-11 14:05
> значит сделайте 2 правила с указанием этих адресов Сделал. >> Это уже сделано: >>> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> Это уже сделано для интерфейса eth0 так только он имеет право пользоваться >> этими портами: >>> -A OUTPUT -p udp -dport 53 -j ACCEPT >>> -A OUTPUT -p tcp -dport 80 -m state --state NEW -j ACCEPT >> Это уже сделано для соответствующих подсетей и отдельных адресов остальным доступ запрещён: > для каких еще подсетей и отдельных адресов, если это OUTPUT , то > есть то что уходит со шлюза, а не из локалки В принципе согласен. Всё что не нужно я уже обрубил на FORWARD и INPUT. >[оверквотинг удален] >>>> inet_ip - удалённый получатель данных(тот кому мы передаём на порт 5000) >>>> 94.100.191.204 - mail.ru >>> какой удаленный получатель, там ваш внешний ip должен быть >>> -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip >>> вся фильтрация будет потом в таблице фильтров >> Чё то я не понял... >> Получается чтобы перенаправить порт 5000 на inet_ip его ненужно нигде прописывать??? > ну вроде писАл "-o внешний_интерфейс" - который на провайдера смотрит >> Если так то правильной ли будет запись >> -A POSTROUTING -o eth2 -s 192.168.10.3 -j SNAT my_inet_ip А зачем мне натить весь интерфейс поключённый к модему если у меня весь нэт заворачивается на порты прокси? Разве мне не достаточно пропустить натом порт 5000? > с какого ... так правильней? если eth2 смотрит на 192.168.10.3, то зачем > на нем snat. > snat - нужен на внешнем интерфейсе, что бы пакеты из вашей серой > сети в инет вышли с белым ip. Для простого доступа в инет у меня прокси настроен. > если укажите -s 192.168.10.3, то snat будет только для пакетов от 192.168.10.3, > а нужно для всех кто идет в инет, поэтому еще раз > повторяю: > -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip, и не более В том то и дело что не для всех а только для него. Нужно именно этому IP дать доступ в интернет по произвольному порту 3000-4000 на машину в интернете на порт 5000 P.S. Большое спасибо вам за ответы и ваше терпение.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> значит сделайте 2 правила с указанием этих адресов > Сделал. >>> Это уже сделано: >>>> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> Это уже сделано для интерфейса eth0 так только он имеет право пользоваться >>> этими портами: >>>> -A OUTPUT -p udp -dport 53 -j ACCEPT >>>> -A OUTPUT -p tcp -dport 80 -m state --state NEW -j ACCEPT >>> Это уже сделано для соответствующих подсетей и отдельных адресов остальным доступ запрещён: >> для каких еще подсетей и отдельных адресов, если это OUTPUT , то >> есть то что уходит со шлюза, а не из локалки > В принципе согласен. Всё что не нужно я уже обрубил на FORWARD > и INPUT. >>[оверквотинг удален] >>>>> inet_ip - удалённый получатель данных(тот кому мы передаём на порт 5000) >>>>> 94.100.191.204 - mail.ru >>>> какой удаленный получатель, там ваш внешний ip должен быть >>>> -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip >>>> вся фильтрация будет потом в таблице фильтров >>> Чё то я не понял... >>> Получается чтобы перенаправить порт 5000 на inet_ip его ненужно нигде прописывать??? >> ну вроде писАл "-o внешний_интерфейс" - который на провайдера смотрит >>> Если так то правильной ли будет запись >>> -A POSTROUTING -o eth2 -s 192.168.10.3 -j SNAT my_inet_ip > А зачем мне натить весь интерфейс поключённый к модему если у меня > весь нэт заворачивается на порты прокси? Разве мне не достаточно пропустить > натом порт 5000? >> с какого ... так правильней? если eth2 смотрит на 192.168.10.3, то зачем >> на нем snat. >> snat - нужен на внешнем интерфейсе, что бы пакеты из вашей серой >> сети в инет вышли с белым ip. > Для простого доступа в инет у меня прокси настроен. >> если укажите -s 192.168.10.3, то snat будет только для пакетов от 192.168.10.3, >> а нужно для всех кто идет в инет, поэтому еще раз >> повторяю: >> -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip, и не более > В том то и дело что не для всех а только для > него. Нужно именно этому IP дать доступ в интернет по произвольному > порту 3000-4000 на машину в интернете на порт 5000 > P.S. Большое спасибо вам за ответы и ваше терпение.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру