правила/FAQ

регистрация

Версия для распечатки

Пред. тема | След. тема

Новые ответы

[ Отслеживать ]

iptables DNAT и FORWARD,

Zenith, 02-Окт-13, 01:05 [смотреть все]

Здравствуйте, дорогие форумчане.
Вопрос очень прост. Как ПРАВИЛЬНО написать правила проброса порта с внешного ip на хост внутри локальной сети? У меня 2 варианта:
1) Ограничиваем проброс указанием источника:
-A PREROUTING -t nat -s 1.1.1.1 -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1
и разрешаем проход в FORWARD
-A FORWARD -i eth2 -o eth0 -d 192.168.1.1 -p tcp --dport 3389 -j ACCEPT
2) Или же пробрасываем всех страждущих
-A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1
а не угодных "косим" в FORARD
-A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP

Какое решение, идиологически, более правильное??

Ответить | Сообщить модератору

iptables DNAT и FORWARD, PavelR, 07:32 , 02-Окт-13 (1)
iptables DNAT и FORWARD, reader, 11:12 , 02-Окт-13 (2)

iptables DNAT и FORWARD, Zenith, 21:17 , 02-Окт-13 (3)
>[оверквотинг удален]
>> 2) Или же пробрасываем всех страждущих
>> -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389
>> -j DNAT --to-destination 192.168.1.1
>> а не угодных "косим" в FORARD
>> -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389
>> -j ACCEPT
>> -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP
>> Какое решение, идиологически, более правильное??
> если сделаете по 1 варианту , то желательно не угодных "косим" в
> INPUT, но там можно политикой по умолчанию обойтись
Не-не-не. INPUT тут не участвует. Это транзитный трафик.
Ответить | Сообщить модератору

iptables DNAT и FORWARD, reader, 08:15 , 03-Окт-13 (5)

iptables DNAT и FORWARD, John, 22:07 , 02-Окт-13 (4)

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру