Добрый день,есть цент ос 7, на нем поднят сквид, сервер с двумя инт eth0 в internal зоне и eth1 в паблик зоне.
все работает, есть необходимость пробросить от внутренних клиентов порт в мир.
при включение макскарадинга на паблик зоне все начинает работать, но натятся все портыможно ли как то это дело ограничить, например разрешить SNATить только 110 порт к примеру?
что бы не удалять firewalld и не заменять его iptables?
> что бы не удалять firewalld и не заменять его iptables?JFYI:
1) firewalld это всего лишь обертка над iptables.
2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и в том и в другом случае "не работает", но в первом случае пакеты в мир всё равно летят. Т.о SNAT должен быть полным + фильтр по портам.
>> что бы не удалять firewalld и не заменять его iptables?
> JFYI:
> 1) firewalld это всего лишь обертка над iptables.
> 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и
> в том и в другом случае "не работает", но в первом
> случае пакеты в мир всё равно летят. Т.о SNAT должен быть
> полным + фильтр по портам.Спасибо.
То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр блокирующий все кроме разрешенных портов
> Добрый день,
> есть цент ос 7, на нем поднят сквид, сервер с двумя инт
> eth0 в internal зоне и eth1 в паблик зоне.
> все работает, есть необходимость пробросить от внутренних клиентов порт в мир.
> при включение макскарадинга на паблик зоне все начинает работать, но натятся все
> порты
> можно ли как то это дело ограничить, например разрешить SNATить только 110
> порт к примеру?
> что бы не удалять firewalld и не заменять его iptables?Вроде получилось, вот тут написал как:
http://www.wline.ws/?p=613
>[оверквотинг удален]
>> есть цент ос 7, на нем поднят сквид, сервер с двумя инт
>> eth0 в internal зоне и eth1 в паблик зоне.
>> все работает, есть необходимость пробросить от внутренних клиентов порт в мир.
>> при включение макскарадинга на паблик зоне все начинает работать, но натятся все
>> порты
>> можно ли как то это дело ограничить, например разрешить SNATить только 110
>> порт к примеру?
>> что бы не удалять firewalld и не заменять его iptables?
> Вроде получилось, вот тут написал как:
> http://www.wline.ws/?p=613а зачем тогда спрашивал, как делать, если сделал "так"?
Столько шума в мировую сеть летит из за таких "конфигураторов".
>[оверквотинг удален]
>>> все работает, есть необходимость пробросить от внутренних клиентов порт в мир.
>>> при включение макскарадинга на паблик зоне все начинает работать, но натятся все
>>> порты
>>> можно ли как то это дело ограничить, например разрешить SNATить только 110
>>> порт к примеру?
>>> что бы не удалять firewalld и не заменять его iptables?
>> Вроде получилось, вот тут написал как:
>> http://www.wline.ws/?p=613
> а зачем тогда спрашивал, как делать, если сделал "так"?
> Столько шума в мировую сеть летит из за таких "конфигураторов".Че не так?
>>> Вроде получилось, вот тут написал как:
>>> http://www.wline.ws/?p=613
>> а зачем тогда спрашивал, как делать, если сделал "так"?
>> Столько шума в мировую сеть летит из за таких "конфигураторов".
> Че не так?Цитирую:
2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и в том и в другом случае "не работает", но в первом случае пакеты в мир всё равно летят. Т.о SNAT должен быть полным + фильтр по портам.
>>>> Вроде получилось, вот тут написал как:
>>>> http://www.wline.ws/?p=613
>>> а зачем тогда спрашивал, как делать, если сделал "так"?
>>> Столько шума в мировую сеть летит из за таких "конфигураторов".
>> Че не так?
> Цитирую:
> 2) Не путайте включение/отключение SNAT и фильтрацию трафика. Да, у клиентов и
> в том и в другом случае "не работает", но в первом
> случае пакеты в мир всё равно летят. Т.о SNAT должен быть
> полным + фильтр по портам.А вы следите за пакетами уходящими в интернет, что это они вас так беспокоят?
Они и должны лететь если есть клиенты требующие доступа по не http_access
И вообще почему на ты, я с вами рюмку водки на брудершафт не пил.
Хотели бы помочь написали бы более конструктивно, а не лезли сюда со своими недокоментами.
>[оверквотинг удален]
>> случае пакеты в мир всё равно летят. Т.о SNAT должен быть
>> полным + фильтр по портам.
> А вы следите за пакетами уходящими в интернет, что это они
> вас так беспокоят?
> Они и должны лететь если есть клиенты требующие доступа по не
> http_access
> И вообще почему на ты, я с вами рюмку водки на брудершафт
> не пил.
> Хотели бы помочь написали бы более конструктивно, а не лезли сюда со
> своими недокоментами.Полные решения "под ключ" (а) стоят денег, а их достаточно простые варианты в большинстве своем (б) расписаны в интернетах (нужно только погуглить) и (в) в различной документации к программным продуктам (нужно когда-нибудь открыть и почитать её).
С какого фига кто-то Вам обязан разжевывать детально, если Вы не способны к минимальным движениям мышкой в браузере и к минимальному анализу того, что уже написано?
Я сильно сомневаюсь, что если бы я расписал Вам подробнее, Вы бы применили мои советы.
Это подтверждается написанным в комментариях https://www.opennet.ru/openforum/vsluhforumID1/96617.html#1 (#1) и https://www.opennet.ru/openforum/vsluhforumID1/96617.html#2 (#2) :
>Спасибо.
>То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр
>блокирующий все кроме разрешенных портовВ результате вы всё-равно сделали "фильтрацию" (в кавычках, т.к. её фактически нет) через отсутствие SNAT. А что, не "пучкает же" - Вам этого достаточно, а почему это так и как это _действительно_ работает - Вам глубоко пох, как и большинству не слушающих советы и нежелающих разбираться.
Что поделать, таков современный человек.
>[оверквотинг удален]
> (#1) и https://www.opennet.ru/openforum/vsluhforumID1/96617.html#2 (#2) :
>>Спасибо.
>>То есть у меня должен работать маскарад пучкающий все и параллельно настроен фильтр
>>блокирующий все кроме разрешенных портов
> В результате вы всё-равно сделали "фильтрацию" (в кавычках, т.к. её фактически нет)
> через отсутствие SNAT. А что, не "пучкает же" - Вам
> этого достаточно, а почему это так и как это _действительно_ работает
> - Вам глубоко пох, как и большинству не слушающих советы и
> нежелающих разбираться.
> Что поделать, таков современный человек.С файрволлд я не знаком и не найдя в интернетах того чего искал решил обратится сюда. В итоге встретился с таким негативом, а пришел на форум надеясь что тут помогут и не будут ходить вокруг да около тем более того что просил уместится в пару строках, да и тут я готового решения не искал вовсе.
Я посмотрю еще что я сделал не правильно, но наверное уже без советов на этом форуме. В любом случае спасибо за то что хоть какое внимание уделили.
> С файрволлд я не знаком и не найдя в интернетах того чего
> искал решил обратится сюда.Я вот например с firewalld не знаком и знакомиться не планирую. Зачем изучать прослойку, если знаешь как пользоваться iptables напрямую?
> В итоге встретился с таким негативом, ...
Как же вам жить-то тяжело, а. Не вижу в первых 6 комментариях никакого негатива.
А вот в 7-м комментарии у вас проявились какие-то психологические проблемы, вот только не надо перевешивать их на собеседников, Вы в этом неправы.> пришел на форум надеясь что тут помогут и не будут ходить
> вокруг да около тем более того что просил уместится в пару
> строках, да и тут я готового решения не искал вовсе.Странный Вы.