From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <44A905EB.2080005@soc.adm.yar.ru> Date: Mon, 03 Jul 2006 15:56:27 +0400 From: =?KOI8-R?Q?=22=E4=D7=CF=D2=CE=C9=CB=CF=D7_=ED=2E=F7=2E=22?= User-Agent: Thunderbird 1.5.0.4 (X11/20060615) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <44A8CDD1.7090800@soc.adm.yar.ru> <200607031203.14371.ashen@nsrz.ru> <44A8D1FC.6050709@soc.adm.yar.ru> <200607031222.29285.ashen@nsrz.ru> <44A8F5AC.3040600@soc.adm.yar.ru> <20060703142303.25821ccd@shadow.orionagro.com.ua> In-Reply-To: <20060703142303.25821ccd@shadow.orionagro.com.ua> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Virus-Scanned: amavisd-new at soc.adm.yar.ru Subject: Re: [Sysadmins] =?koi8-r?b?aXB0YWJsZXMg1NLBztPM0cPJ0SDQ0s/Uz8vPzME=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 03 Jul 2006 11:56:36 -0000 Archived-At: List-Archive: Dmitriy L. Kruglikov пишет: > On Mon, 03 Jul 2006 14:47:08 +0400 > Дворников М.В. wrote: > >> Первая команда разрешает трансляцию для всех портов и >> протоколов? Наверно это не очень хорошо. > Если имеется в виду > $IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP > То это всего лишь NAT ... > Будет транслировано все, что будет разрешено последующими правилами ... /etc/sysconfig/iptables *nat :PREROUTING ACCEPT [49:10802] :POSTROUTING ACCEPT [11:1372] :OUTPUT ACCEPT [4:215] # proxy -A PREROUTING -s 10.X/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 # kazna -A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT --to-source 193.X *filter :INPUT ACCEPT [427:75757] :FORWARD ACCEPT [31:4358] :OUTPUT ACCEPT [347:154782] -A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Сейчас iptables использовался только для прозрачного прокси. Если так напишу, строки с FORWARD будут влиять или все и так разрешено? Давно хотел переписать все правила правильно (file.sh). На шлюзе много всяких сервисов и боюсь не осилю. -- С уважением, Дворников Михаил.