Configurarea nat, dnat in linux folosind iptables

Ce va fi discutat?

Este foarte simplu, încă o dată explica pe forum pentru începători în lumea Linux, ceea ce da, după cum am dat seama că marea Internetul nu este găsit adunat împreună un articol cu ​​o explicație, nu numai de configurare iptables, dar, de asemenea, unele elementele de bază de rețea.

Așa că prezint atenția o mică digresiune pe configurația firewall-ului pe Linux. Delve numai în stabilirea netfilter / iptables, întrebările de aplicare rămase, cu siguranță, vom atinge, de asemenea, pe, pentru că ne lipsește este un răspuns cuprinzător la întrebările noastre ... Și voi încerca ka poate fi setat mai lucid aici tot mai departe.

Cum arată

Vom lua în considerare o schemă tipică pentru birouri și apartamente, da-da apartamente! Puțini oameni au servachok casa proprie puțin sub masă, dar cele mai multe acasă on-line este distribuit printr-un router, iar pentru cea mai mare parte acestea sunt, de asemenea, cusute Linux.
Acesta este un aspect tipic pentru birourile mici. Când un computer (server) este conectat la Internet și restul sunt conectate la Internet prin intermediul acestui server.

Să mergem, liniștit.

Și ce avem:

  • server cu 2 carduri de rețea și instalat pe el Debian Lenny
  • care este implicit în firewall-ul Debian Lenny - netfilter / iptables
  • o rețea locală de computere N, toate conectate printr-un switch, inclusiv un server
ce este NAT

Acum, că știm ce este NAT și ce este pentru el, puteți trece direct la configurarea serverului.

traficul de tranzit
configura iptables
pe puțini.
accesul la miezul rețelei printr-un gateway sau prin DNAT
deci ce e cu calmarul tău preferat

Și deși acum totul funcționează, toată lumea are Internet și totul funcționează, unii au nevoie de un server proxy. Nu voi vorbi despre configurarea calmarului, voi arăta o regulă care o va face "transparentă". În SQUID, trebuie doar să înregistrați cuvântul magic în locul potrivit și acesta va începe să proceseze corect cererile care au căzut pe el.
Noi scriem

$ iptables -A PREROUTING -d 192.168.0.0/24 -i eth0 -p tcp -m multiport -dporturi 80.443 -j REDIRECT -to-porturi 3128.

Și ce ne dă acest lucru? Acum, toate solicitările către paginile web de locuri de muncă dvs. la http ((80) și https (443) protocoalele vor fi redirecționat către portul pe care ascultă calmar. Veți obține filtrarea conținutului, informații despre cine este, unde a fost și ce făcea pe Internet, utilizatorul sau orice lucruri neașteptate ca înainte ...

puțină siguranță

Ar trebui cel puțin să minimalizați poarta dvs. de acces, astfel încât să adăugăm încă câteva reguli
$ iptables -A INPUT -i lo -j ACCEPT
$ iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$ iptables -A INPUT -i eth1 -m conntrack -ctstate IN AFARA, ESTABLISHED -j ACCEPT
$ iptables -P INPUT DROP
Astfel, este interzis orice comunicare direct cu poarta de acces, în plus față de o conexiune deja stabilită, și anume, cele care au fost inițiate de dvs. și tocmai le primiți răspunsuri. Nu vă temeți că DNAT nu ajunge la aceste reguli ...

de ce atât de puțin?

Articole similare