The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"iptables "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables "  +/
Сообщение от gerg (?), 12-Сен-20, 18:34 
Добрый день!
Есть шлюз с белым IP (1.1.1.1) и две сетки, за ним, с серыми адресами. Провайдер отдал нам еще сеть с белыми адресами 2.2.2.2/28, там будут крутится веб сервера, почтовик, и т.д. К этой сети нужен доступ как из WAN так и из LAN1,2.  На шлюз добавлю еще одну сетевую. Система Centos 7.  

шлюз IP 1.1.1.1
NEW LAN 2.2.2.2/28  (DMZ???)
LAN1 192.168.0.1/24
LAN2 10.10.10.1/24

-->WAN-[gate]---2.2.2.2/28
                  | |
             LAN1 LAN2

Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из локальных сетей и интернета? Или достаточно включенной ip_forward?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "iptables "  +/
Сообщение от Licha Morada (ok), 12-Сен-20, 18:54 
> Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из
> локальных сетей и интернета?

Точно так-же как доступ из LAN1 в LAN2, например.
-A FORWARD -i DMZ -o WAN -j ACCEPT
-A FORWARD -i WAN -o DMZ -j ACCEPT
-A FORWARD -i LAN1 -o DMZ -j ACCEPT
-A FORWARD -i LAN2 -o DMZ -j ACCEPT

> Или достаточно включенной ip_forward?

Если policy в цепи FORWARD стоит в ACCEPT, то да. Но лучше чтоб там было DROP.

Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом NAT будет применятся и к трафику из DMZ в WAN. Его придётся изменить на "всё что уходит к провайдеру И идёт из LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ И идёт из LAN1 или LAN2, надо NAT-ить".
-A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 10.10.10.1/24 -j MASQUERADE
https://tldp.org/HOWTO/html_single/Masquerading-Simple-HOWTO/
(или SNAT вместо MASQUERADE https://terrywang.net/2016/02/02/new-iptables-gotchas.html )

Примерно так.

Ответить | Правка | Наверх | Cообщить модератору

2. "iptables "  +/
Сообщение от gerg (?), 13-Сен-20, 14:04 
>[оверквотинг удален]
> чтоб там было DROP.
> Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас
> правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом
> NAT будет применятся и к трафику из DMZ в WAN. Его
> придётся изменить на "всё что уходит к провайдеру И идёт из
> LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ
> И идёт из LAN1 или LAN2, надо NAT-ить".
> -A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
> -A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
> -A POSTROUT

Большое спасибо за ответ. POLICY действительно стоят DROP на INPUT и ACCEPT на FORWARD и OUTPUT. Доступ к серверу я получу только в пятницу, тогда и попробую.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру