есть локалка и линух, подключённій к интернету...
как сделать так, чтоб все обращению к какому-то порту пересылались на определённую машину сети.

например, кто-то извне писал в игрухесonnect host.domain, и коннектился к машине локальной сети

Т.е. сделать спросто форварднуть ?

хм...

давай сделаем так :

iptables -t nat -A *PREROUTING *-i <тот котрый слушает у тачки a.b.c.d> -d a.b.c.d *-p tcp --dport 80 -j DNAT --to a.a.a.a:80

т.е. запросы призходяшие на 80 порт *a.b.c.d редиректяться на *a.a.a.a:80

Дальше разберёшься ? =)

в ipchains было бы так :
ipmasqadm portfw -a -P tcp -L a.b.c.d 80 -R a.a.a.a 80

есть ещё финтипулька redirect :

redirect -s a.a.a.a 80 -d a.b.c.d. 80

Имхо такой синтаксис или схож близко... =)

Но в redirect надо помнить одну чтуку ;)
Он не поддерживает форвард фтп.
Так как там идёт обратная связь, не пользователь устанавливает связь с сервером, а сервер с пользователем. =)

Исправлено: leprikon, 0:45 14-04-2002

leprikon
Есть похожая проблема может найду связь...
iptables -t nat -A  PREROUTING  -i <тот котрый слушает у тачки a.b.c.d> -d a.b.c.d  -p tcp --dport 80 -j DNAT --to a.a.a.a:80
<тот котрый слушает у тачки a.b.c.d> - т.е. тот кто конектится к моей тачке? Ну а если я незнаю кто это? например за рутером фтп и веб и юзать может кто угодно? можно этот момент немного обяснить ... или я не совсем правильно понял фразу?

esli znaete english, to chitatite HOWTO
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/
eto siekonomit vam mnogo vremeni v budushem i nastoiashem

Нужно запретить диапазоны ИП адресов, а я незнаю как записать правильно диапазоны:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
224.0.0.0 - 239.255.255.255
240.0.0.0 - 247.255.255.255
iptables -I INPUT 1 -s [IP DIAPAZON] -j DROP

+ надо закрыть диапазон 192.168.0.0 - 192.168.255.255 но закрыть так чтоб не могли зайти только на eth0, а на eth1 был полностью открыт этот диапазон.

in_err="10.0.0.0 172.16.0.0 224.0.0.0 240.0.0.0"

for ip in $in_err; do

iptables -A INPUT -s $ip -j DROP

in_err1="192.168.0.0"

iptables -A INPUT -s $in_err1 -i eth0 -j DROP

iptables -A INPUT -s $in_err1 -i eth1 -j ACCEPT

В правильности цепочек правил не уверен (может что-то не дописал) , но принцып должен быть понятен. =)

leprikon
Как видешь в in_err="10.0.0.0 172.16.0.0 224.0.0.0 240.0.0.0"
указаны только четыре адреса, мне нужно диапазоны.
перечислять по одному адресу можно до пенсии :)

Исправлено: kuznets, 9:37 2-08-2002

дык это диапазон =) тебе с ветки 10.* не будет проходить =)

leprikon
А в таком случае
172.16.0.0 - 172.31.255.255
как расценить?
С ветки 172.16.* не будет приходить?
нестыковочка.

kuznets

ну допиши 172.16.0.0  и 172.31.0.0  =)

leprikon
Вот в том то и вопрос что придется дописывать слишком много
172.16.0.0
172.17.0.0
172.18.0.0
172.19.0.0
.
.
.
172.31.0.0

А в этих случаях не упарюсь я дописывать?
224.0.0.0 - 239.255.255.255
240.0.0.0 - 247.255.255.255

172.0.0.0 =) так  ? =)

239.0.0.0 247.0.0.0

leprikon
Млин ну написано же диапазон с 172.16.*.* по 172.31.255.255
а ты предлагаешь 172.*.*.*
то же и с остальными...
начиная 10.0.0.0 и заканчивая 10.255.255.255
172.16.0.0 - 172.31.255.255
224.0.0.0 - 239.255.255.255
240.0.0.0 - 247.255.255.255

kuznets

да пример тебе показал, дальше делай как хочешь...
хочешь закрой все , а потом открывай - или наоборот...

Дальше все в тоих руках =)

не мне же за тебя думать над твоей проблемай.. =) в какую сторону рыть тебе показал =)

leprikon
Так в том то и проблема что не догадываюсь я как это сделать.
не хочу я писать:
172.16.0.0
172.17.0.0
172.18.0.0
172.19.0.0
.
.
.
172.31.0.0
хочу знать можно ли написать как нить коротко например в письменном виде я пишу 172.16.0.0 - 172.31.0.0 ... есть разница в размере написанного.

kuznets

имхо никак... только расписывать..

CLASS_A="10.0.0.0/8"
CLASS_B="172.16.0.0/12"
CLASS_C="192.168.0.0/16"
CLASS_D_MULTICAST="224.0.0.0/4"

какая разница  все равно так как он хочет не будет...

10.0.0.0-10.255.255.255 eto 10.0.0.0/8
172.16.0.0-172.31.255.255 eto 172.1.0.0/12
224.0.0.0-239.255.255.255 eto 14.0.0.0/4
240.0.0.0-247.255.255.255 eto 30.0.0.0/5

a voshe smotri IP-Subnetworking-HOWTO

Guest
Thanks
Именно то, что я и хотел.

Исправлено: kuznets, 0:52 7-08-2002