VladDV
16-10-2010, 17:47
Всем доброго времени суток!
На досуге поставил себе такую замечательную вещь, как shorewall. Вроде все красиво и понятно. Но есть два нюанса, которые поставили в тупик:
1) Создаю правило DNAT с инета в $FW для доступа к SSH по порту 5000. Перезагружаю shorewall, проверяю коннект на 5000 - все ок. НО! Проверяю коннект на 22 - и тоже проходит! Делаю iptables-save, и таки да, есть правило, разрешающее принимать подключения по 22 порту. В документации написано, что правило DNAT создает сразу и разрешающее правило. Но по идее должно было создаться разрешающее правило по порту 5000. Вопрос - это баг или я чего-то недопонял?
2) Если у меня статический внешний IP, то логичнее использовать SNAT вместо маскарадинга. Но в примерах sharewall нашел только файл masq. Отсюда второй вопрос - как настроить SNAT?
На досуге поставил себе такую замечательную вещь, как shorewall. Вроде все красиво и понятно. Но есть два нюанса, которые поставили в тупик:
1) Создаю правило DNAT с инета в $FW для доступа к SSH по порту 5000. Перезагружаю shorewall, проверяю коннект на 5000 - все ок. НО! Проверяю коннект на 22 - и тоже проходит! Делаю iptables-save, и таки да, есть правило, разрешающее принимать подключения по 22 порту. В документации написано, что правило DNAT создает сразу и разрешающее правило. Но по идее должно было создаться разрешающее правило по порту 5000. Вопрос - это баг или я чего-то недопонял?
2) Если у меня статический внешний IP, то логичнее использовать SNAT вместо маскарадинга. Но в примерах sharewall нашел только файл masq. Отсюда второй вопрос - как настроить SNAT?