URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97633
[ Назад ]

Исходное сообщение
"iptables "
Отправлено gerg , 12-Сен-20 18:34

Добрый день!
Есть шлюз с белым IP (1.1.1.1) и две сетки, за ним, с серыми адресами. Провайдер отдал нам еще сеть с белыми адресами 2.2.2.2/28, там будут крутится веб сервера, почтовик, и т.д. К этой сети нужен доступ как из WAN так и из LAN1,2.  На шлюз добавлю еще одну сетевую. Система Centos 7.
шлюз IP 1.1.1.1
NEW LAN 2.2.2.2/28  (DMZ???)
LAN1 192.168.0.1/24
LAN2 10.10.10.1/24
-->WAN-[gate]---2.2.2.2/28
                  | |
             LAN1 LAN2
Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из локальных сетей и интернета? Или достаточно включенной ip_forward?

Содержание

iptables ,Licha Morada, 18:54 , 12-Сен-20
- iptables ,gerg, 14:04 , 13-Сен-20

Сообщения в этом обсуждении

"iptables "
Отправлено Licha Morada , 12-Сен-20 18:54

> Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из
> локальных сетей и интернета?
Точно так-же как доступ из LAN1 в LAN2, например.
-A FORWARD -i DMZ -o WAN -j ACCEPT
-A FORWARD -i WAN -o DMZ -j ACCEPT
-A FORWARD -i LAN1 -o DMZ -j ACCEPT
-A FORWARD -i LAN2 -o DMZ -j ACCEPT
> Или достаточно включенной ip_forward?
Если policy в цепи FORWARD стоит в ACCEPT, то да. Но лучше чтоб там было DROP.
Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом NAT будет применятся и к трафику из DMZ в WAN. Его придётся изменить на "всё что уходит к провайдеру И идёт из LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ И идёт из LAN1 или LAN2, надо NAT-ить".
-A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 10.10.10.1/24 -j MASQUERADE
https://tldp.org/HOWTO/html_single/Masquerading-Simple-HOWTO/
(или SNAT вместо MASQUERADE https://terrywang.net/2016/02/02/new-iptables-gotchas.html )
Примерно так.

"iptables "
Отправлено gerg , 13-Сен-20 14:04

>[оверквотинг удален]
> чтоб там было DROP.
> Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас
> правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом
> NAT будет применятся и к трафику из DMZ в WAN. Его
> придётся изменить на "всё что уходит к провайдеру И идёт из
> LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ
> И идёт из LAN1 или LAN2, надо NAT-ить".
> -A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
> -A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
> -A POSTROUT
Большое спасибо за ответ. POLICY действительно стоят DROP на INPUT и ACCEPT на FORWARD и OUTPUT. Доступ к серверу я получу только в пятницу, тогда и попробую.