zarathushtra
19-06-2003, 01:32
Привет всем,
В чем собственно дело, все тачки в локалке имеют доступ в инет, а вот сам шлюз попасть туда не может после загрузки данного кофига.
Как сделать так, чтобы шлюз тоже имел доступ в инет, но без потери в безопастности?
Конфиг прилагаю:
exec
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -j LOG -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i \! lo -s 127.0.0.0/255.0.0.0
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eht0 -p \! icmp -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -j DROP
iptables -A INPUT -j ACCEPT -p all -i eth1 -s 172.168.1.0/24
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-reply -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-request -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type destination-unreachable -d 192.168.10.104
echo 1 > /proc/sys/net/ipv4/ip_forward
exit 0
----------------------------------
Заранее спасибо.
В чем собственно дело, все тачки в локалке имеют доступ в инет, а вот сам шлюз попасть туда не может после загрузки данного кофига.
Как сделать так, чтобы шлюз тоже имел доступ в инет, но без потери в безопастности?
Конфиг прилагаю:
exec
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -j LOG -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i \! lo -s 127.0.0.0/255.0.0.0
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eht0 -p \! icmp -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -j DROP
iptables -A INPUT -j ACCEPT -p all -i eth1 -s 172.168.1.0/24
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-reply -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-request -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type destination-unreachable -d 192.168.10.104
echo 1 > /proc/sys/net/ipv4/ip_forward
exit 0
----------------------------------
Заранее спасибо.