Настройка Iptables firewall ! Опции

[Гость_sashik_*]

Поделитесь советами линуксоиды! Где находятся все его .conf файлы и вообще давайте настроим его чисто на внутриние IP адреса ВолгаТелекома!

[Amp]

Fwbuilder не катит?

Firewall Builder состоит из графического интерфейса и набора компиляторов политик для различных файерволов. Программа помогает пользователю редактировать правила с помощью операций drag'n'drop. Текущая версия поддерживает iptables, ipfilter, ipfw, pf от OpenBSD и Cisco PIX.

[Гость_Daid21_*]

Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь.

[Гость_karpen_*]

Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь.

Что за трафку вы употребляете?

http://www.p-stone.ru/libr/os/linux/data/p...x.shtml?minimal

4. NAT в IPTables

Маскарадинг (masquerading) и трансляция ip-адресов (NAT) в Linux. Что это такое, что можно и что нельзя.

Если у Вас есть локальная сеть, подключенная к сети Интернет через linux сервер, и в этой локальной сети используются «серые» ip адреса, то одним из способов выхода в Интернет может стать использование NAT. Или наоборот, с помощью NAT можно осуществить доступ из Интернет например к web серверу расположенному в локальной сети и не имеющему реального ip-адреса.

Этот документ содержит несколько терминов, которые следует пояснить прежде, чем вы столкнетесь с ними.

1. «Серый» IP адрес (он же приватный, он же фейковый он же частный) - IP адрес из специально выделенных подсетей, которые не используются в сети Интернет, и зарезервированы для использования в локальных сетях (intranet). В каждом классе (A B С) зарезервировано по одной подсети:

Класс А 10.0.0.0 - 10.255.255.255
Класс B 172.16.0.0 - 172.31.255.255
Класс C 192.168.0.0 - 192.168.255.255

2. «Белый» IP адрес (он же реальный, он же публичный) – IP адрес, не входящий в «серые» подсети и использующийся в сети Интернет.
3. Маскарад (MASQUERADE) - замена сетевого адреса получателя в заголовке пакета на адрес, находящийся на исходящем интерфейсе машины, выполняющей маскарад, и соответственно обратная операция при получении ответного пакета. Маскарад применяется в тех же целях, что и SNAT, но в отличие от последней, MASQUERADE дает более сильную нагрузку на систему. Происходит это потому, что каждый раз, когда требуется выполнение этого действия - производится запрос IP адреса для указанного в действии сетевого интерфейса, в то время как для SNAT IP адрес указывается непосредственно. Однако, благодаря такому отличию, MASQUERADE может работать в случаях с динамическим IP адресом, т.е. когда вы подключаетесь к Интернет, скажем через PPP, SLIP или DHCP.
4. Трансляция адресов (NAT – network address translation) – замена сетевого адреса получателя в заголовке пакета на любой указанный, и соответственно обратная операция при получении ответного пакета.
5. DNAT - от англ. Destination Network Address Translation - изменение сетевого адреса получателя. DNAT - это изменение адреса назначения в заголовке пакета. Зачастую используется в паре с SNAT. Основное применение - предоставление дополнительных сетевых услуг внешним клиентам.
6. SNAT - от англ. Source Network Address Translation - изменение сетевого адреса отправителя. SNAT - это изменение исходного адреса в заголовке пакета. Основное применение - использование единственного реального IP-адреса несколькими компьютерами для выхода в Интернет.

Общие положения

Когда пакет приходит на наш брандмауэр, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц iptables и затем передается либо локальному приложению, либо переправляется на другую машину.

Сообщение отредактировал karpen - Jun 21 2007, 14:10