Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RFpro.ru: Переход с Windows на Unix/Linux/FreeBSD


Хостинг портала RFpro.ru:
Московский хостер
Профессиональный платный хостинг на базе Windows 2008

РАССЫЛКИ ПОРТАЛА RFPRO.RU

Чемпионы рейтинга экспертов в этой рассылке

vladisslav
Статус: 5-й класс
Рейтинг: 1070
∙ повысить рейтинг »
Anarki4
Статус: 6-й класс
Рейтинг: 416
∙ повысить рейтинг »
Sky-er
Статус: 8-й класс
Рейтинг: 390
∙ повысить рейтинг »

/ КОМПЬЮТЕРЫ И ПО / Установка и настройка ОС / Переход с Windows на Unix/Linux/FreeBSD

Номер выпуска:243
Дата выхода:26.01.2010, 18:00
Администратор рассылки:Калашников О.А., Руководитель
Подписчиков / экспертов:606 / 157
Вопросов / ответов:1 / 3

Вопрос № 176187: Здравствуйте! Используем Линукс Fedora как шлюз. Внутри локальной сети есть сервер терминалов на windows 2003 server. Как изменить синтаксис iptables, что бы была фильтрация по ip адресам к этому серверу. Сейчас это выгядет так: -A PREROU...



Вопрос № 176187:

Здравствуйте!
Используем Линукс Fedora как шлюз. Внутри локальной сети есть сервер терминалов на windows 2003 server. Как изменить синтаксис iptables, что бы была фильтрация по ip адресам к этому серверу. Сейчас это выгядет так:

-A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp --dport 3389 -j SNAT --to-destination 192.168.0.6: 3389, где xxx.xxx.xxx.xxx внешний ip, смотрящий в мир.

Спасибо, жду информации...

Отправлен: 21.01.2010, 17:46
Вопрос задал: Kozyr76, Посетитель
Всего ответов: 3
Страница вопроса »


Отвечает Шпак, Студент :
Здравствуйте, Kozyr76.

iptables -t nat -A PREROUTING -s 111.111.111.111 -p tcp -d $IP_INTERNET --dport 3389 -j DNAT --to-destination 192.168.0.6:3389

где 111.111.111.111 внешний адрес с которого идет соединение. $IP_INTERNET тут внешний ip адресс.

Если всем открываем (настоятельно не рекомендуется), то:

iptables -t nat -A PREROUTING -p tcp -d $IP_INTERNET --dport 3389 -j DNAT --to-destination 192.168.0.6:3389

Если несколько адресов откуда идет соединение, то либо прописываем для каждого адреса своё правило, либо используем доступ для всех (крайне не желательно.)
Для динамических адресов я делаю следующее, узнаю адрес, захожу на шлюз по ssh и вписываю его в первое правило.


Ответ отправил: Шпак, Студент
Ответ отправлен: 21.01.2010, 20:06

Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 258806 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает Волочнюк Алексей Александрович, 4-й класс :
    Здравствуйте, Kozyr76!

    Для написания фильтрующих правил Вы не можете использовать цепочку PREROUTING в таблице NAT. Вам необходимо использовать таблицу FILTER цепочку INPUT.

    В зависимости от политики которая принята по умолчанию в Вашей конфигурации Вам необходимо составить правила. Если политика DROP, правило будет выглядеть следующим образом:

    iptables -A INPUT -s yyy.yyy.yyy.yyy -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 3389 -j ACCEPT.

    Ответ отправил: Волочнюк Алексей Александрович, 4-й класс
    Ответ отправлен: 21.01.2010, 22:28

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 258810 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает vladisslav, 5-й класс :
    Здравствуйте, Kozyr76!
    Если нужно разрешить/запретить подключаться только с определенного ip/определенной подсети, то достаточно добавить
    -s, --source [!] address[/mask]
    в имеющееся правило, либо если нужна более сложная фильтрация, то добавить правила в цепочку FORWARD таблицы filter

    Ответ отправил: vladisslav, 5-й класс
    Ответ отправлен: 22.01.2010, 09:37

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 258817 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!


    Оценить выпуск »
    Нам очень важно Ваше мнение об этом выпуске рассылки!

    Задать вопрос экспертам этой рассылки »

    Скажите "спасибо" эксперту, который помог Вам!

    Отправьте СМС-сообщение с тестом #thank НОМЕР_ОТВЕТА
    на короткий номер 1151 (Россия)

    Номер ответа и конкретный текст СМС указан внизу каждого ответа.

    Полный список номеров »

    * Стоимость одного СМС-сообщения от 7.15 руб. и зависит от оператора сотовой связи. (полный список тарифов)
    ** При ошибочном вводе номера ответа или текста #thank услуга считается оказанной, денежные средства не возвращаются.
    *** Сумма выплаты эксперту-автору ответа расчитывается из суммы перечислений на портал от биллинговой компании.


    © 2001-2010, Портал RFpro.ru, Россия
    Авторское право: ООО "Мастер-Эксперт Про"
    Автор: Калашников О.А. | Программирование: Гладенюк А.Г.
    Хостинг: Компания "Московский хостер"
    Версия системы: 2010.6.14 от 23.01.2010

    В избранное