From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 6 Jul 2006 11:09:11 +0300 From: "Dmitriy L. Kruglikov" To: ALT Linux sysadmin discuss Message-ID: <20060706110911.769b4f6a@shadow.orionagro.com.ua> In-Reply-To: <44ACB626.8040507@soc.adm.yar.ru> References: <44A8CDD1.7090800@soc.adm.yar.ru> <20060703142303.25821ccd@shadow.orionagro.com.ua> <44A905EB.2080005@soc.adm.yar.ru> <200607031608.57303.ashen@nsrz.ru> <44ACB626.8040507@soc.adm.yar.ru> Organization: ORION AGRO X-Mailer: Sylpheed-Claws 2.2.0cvs66 (GTK+ 2.8.18; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-Virus-Scanned: amavisd-new at orionagro.com.ua Subject: Re: [Sysadmins] =?koi8-r?b?aXB0YWJsZXMg1NLBztPM0cPJ0SDQ0s/Uz8vPzME=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 06 Jul 2006 08:09:53 -0000 Archived-At: List-Archive: On Thu, 06 Jul 2006 11:05:10 +0400 Дворников М.В. wrote: > Нужно написать правила для iptables. > Пользователям из локальной сети разрешается работать только с > сервером: прозрачный proxy (squid:3128), postfix, ftp, > pop3/imap. Нельзя обращаться к внешним ftp,smtp,pop3,imap. Не идеально, но у меня работает таким образом: /etc/sysconfig/iptables *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # У меня два внешних адреса ... # Одна машина имеет полный выход в Инет... -A POSTROUTING -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 213.хх.хх.хх -A POSTROUTING -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source 82.хх.хх.хх # Если нужно на определенные порты и/или адреса, то дописать в эти правила # Далее... *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :BLOCKIT - [0:0] :forward_ext - [0:0] :forward_int - [0:0] :input_ext - [0:0] :input_int - [0:0] :reject_func - [0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m state --state NEW -i eth0 -j forward_int # Разрешаем форвардинг из локалки в Инет для определенного адреса -A forward_int -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT # Разрешаем всей локалке подключаться к серверу... -A input_int -d 192.168.0.0/255.255.255.0 -j ACCEPT > > Дополнительно разрешается NAT: > - 1 клиент ntpdate, Лучше поставить свой сервер времени, а локалку на него натравить ... > - 2 клиента несколько портов к определенному ip, > - 1 клиент полный доступ к определенному ip. > По примерам полного доступа, прописать конкретные порты и адреса. -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Смерть и жизнь - во власти языка, и любящие его вкусят от плодов его. -- притчи Соломона