Configurarea unui simplu nat
Pentru început, aș dori să vă spun cum să fie organizate prin intermediul unei simple iptables TAN bal mascat (masquerading). În toate aceste distribuții Linux, cel mai simplu și mai convenabil mod de a configura nat, - este de a înregistra un cuplu de linii în iptables și să permită transmiterea de pachete în setările de sistem.
Pentru debian si ubuntu se face după cum urmează: a crea un fișier / etc / firewall
Să-i dea dreptul de a efectua
chmod + x / etc / firewall
Și prescrie setările de redirecționare și TAN fișierul
echo 1> / proc / sys / net / ipv4 / ip_forward # includ expediere
FW = / sbin / iptables # crea variabila FW, de fiecare dată când nu pentru a scrie / sbin / iptables
# Flush regulile, lanțul și tabelul NAT
$ FW -F
$ FW -F -t nat
$ FW -X
# Atribuit la rețea variabilă care va natit
NET = "10.10.10.0/29"
# Lăsați-l să se conecteze la poarta de acces (nu este necesar pentru nat)
$ FW -A INPUT -s $ NET -j ACCEPT
# Turn Instrumente nat iptables mascaradă
$ FW -A FORWARD -s 0/0 -d $ NET -j ACCEPT
$ FW -A FORWARD -d 0/0 -s $ NET -j ACCEPT
$ FW -t nat -A POSTROUTING -s $ MASQUERADE -j NET
Personalizați gateway-ul nostru (iptables + echilibrare iproute2 nat)
În primul rând, creați un fișier / etc / firewall-ul și să-l dea dreptul de a executa
/ Etc / firewall
chmod + x / etc / firewall
Acum inscriu regula lui
#! / Bin / sh
echo 1> / proc / sys / net / ipv4 / ip_forward # includ expediere
FW = / sbin / iptables # va crea un FW variabilă
# Flush regulile, lanțul și tabelul NAT
$ FW -F
$ FW -F -t nat
$ FW -X
# Creați o variabilă pentru rețelele și interfețele
P1 = "10.10.10.1"
P2 = "10.10.11.2" #
VLAN100 = "192.168.10.1" # IT
VLAN101 = "192.168.10.65" # Buh
VLAN102 = "192.168.10.129" # Komotdel
VLAN103 = "192.168.10.193" Managementul # Top
# NETs
NET100 = "192.168.10.0/26"
NET101 = "192.168.10.64/26"
NET102 = "192.168.10.128/26"
NET103 = "192.168.10.192/26"
# Ping adăuga intervale de la noi nu pachete de spam mici
Limita # ICMP
$ FW -A INPUT -p icmp --icmp-type 8 -m limit --limit 3 / s --limit-spargere 10 -j ACCEPT
$ FW -A INPUT -p icmp --icmp tip 11 -m limită --limit 3 / s --limit-burst 10 -j ACCEPT
# Permiteți accesul pentru tine
$ FW -A INPUT -s localhost -j ACCEPT
# Natim rețeaua noastră internă prin ambele interfețe la Internet
# VLAN100
$ FW -A FORWARD -s 0/0 -d $ NET100 -j ACCEPT
$ FW -A FORWARD -d 0/0 -s $ NET100 -j ACCEPT
$ FW -t nat -A POSTROUTING -s $ NET100 -j MASQUERADE
# VLAN101
$ FW -A FORWARD -s 0/0 -d $ NET101 -j ACCEPT
$ FW -A FORWARD -d 0/0 -s $ NET101 -j ACCEPT
$ FW -t nat -A POSTROUTING -s $ NET101 -j MASQUERADE
# VLAN102
$ FW -A FORWARD -s 0/0 -d $ NET102 -j ACCEPT
$ FW -A FORWARD -d 0/0 -s $ NET102 -j ACCEPT
$ FW -t nat -A POSTROUTING -s $ NET102 -j MASQUERADE
# VLAN103
$ FW -A FORWARD -s 0/0 -d $ NET103 -j ACCEPT
$ FW -A FORWARD -d 0/0 -s $ NET103 -j ACCEPT
$ FW -t nat -A POSTROUTING -s $ NET100 -j MASQUERADE
# Activați accesul SSH
$ FW -A INPUT -p tcp --dport 22 -j ACCEPT
# Închide toate inutile
$ FW -A INPUT -p ALL -m state --state ESTABLISHED, RELATED -j ACCEPT
$ FW -A INPUT -p tcp --tcp-stegulețe SYN, ACK SYN, ACK -m stare --state NEW -j REJECT
$ FW -P FORWARD DROP
$ FW -P INPUT DROP
Salvați modificările într-un fișier și executați-l
/ Etc / firewall