Задача: Нужно настроить файервол, оставив доступ для веб и почтового сервера, перенаправить порты utorrent'у во внутреннюю сеть, включить прозрачный проски для своей сети и для диалапщиков.
Реализация: iptables дистрибутив CentOS 4.x
Правим - /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -p udp -m multiport --dports 53,123 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A INPUT -p tcp -m multiport --dports 2049,3306,5432,7100,3128 --syn -j LOG --log-level debug --log-prefix "syn"
-A INPUT -p tcp -m multiport --dports 2049,3306,5432,7100,3128 --syn -j REJECT
-A INPUT -p udp -m udp --dport 2049 -j REJECT
# --- открываем доступ к веб и почтовому серверу!
-A INPUT -p tcp -m tcp --dport 0:24 --syn -j REJECT
-A INPUT -p tcp -m tcp --dport 26:79 --syn -j REJECT
-A INPUT -p tcp -m tcp --dport 81:1023 --syn -j REJECT
-A INPUT -p udp -m udp --dport 0:79 -j REJECT
-A INPUT -p udp -m udp --dport 81:1023 -j REJECT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Прозрачный прокси кроется здесь...
-A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.30:3128
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
# Для торента перенаправляю на виндозный сервер
-A PREROUTING -p tcp -d 213.192.135.3 --dport 47848 -j DNAT --to-destination 192.168.1.7:47848
# RDP На виндозный сервер
-A PREROUTING -p tcp -d 213.192.135.3 --dport 3389 -j DNAT --to-destination 192.168.1.7:3389
# WinSSH на виндозный сервер
-A PREROUTING -p tcp -d 213.192.135.3 --dport 2222 -j DNAT --to-destination 192.168.1.7:22
# для дмалапщиков
-A PREROUTING -p tcp -s 192.168.3.0/24 --dport 80 -j DNAT --to-destination 192.168.1.30:3128
-A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE
COMMIT
# Ну чтобы уж точно NAT включить, правим и этот файлик
/etc/sysctl.conf
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(
and# sysctl.conf(5) for more details.
# Controls IP packet forwarding Вот в этой строчке 0 меняем на 1 и... вуаля
net.ipv4.ip_forward = 1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0
# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0
# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1
Немає коментарів:
Дописати коментар