-
Recently Browsing 0 members
No registered users viewing this page.
-
Similar Content
-
By smartlid
Есть такая проблема, сделал ipip туннель и перенаправляю трафик с внешнего айпи на внутренний, для этого используется nat + prerouting, вообщем обычный фовардинг. И есть synproxy который убирает с контрака syn, поэтому перенаправление трафика ломается. Вот правила:
iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m conntrack --ctstate INVALID -j DROP iptables -t nat -D PREROUTING -p tcp -m tcp -d $wan_addr --dport $dest_port_wan -j DNAT --to-destination $dest_addr_lan:$dest_port_lan iptables -D FORWARD -m state -p tcp -d $dest_addr_lan --dport $dest_port_lan --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -D POSTROUTING -p tcp -m tcp -s $dest_addr_lan --sport $dest_port_lan -j SNAT --to-source $wan_addr Как это заставить вместе работать?
-
By ageNT_666
Всем привет, подскажите как можно ограничить максимальное количество контраков на абона? делал так
iptables -I FORWARD -m connlimit --connlimit-above 5000 -j DROP
проц в полку!(
-
By Archy_k
Всем привет.
У меня был серв на фрибсд, который не перенес грозу Теперь приходится все плюшки поднять на Дебиане.
Подскажите пожалуйста, как в Дебиане сделать такую штуку:
Есть сеть, которая натится на некую ip, например 1.1.1.1
Есть абонент, который получает серый ip 172.16.0.100 (но когда денег на счету нет, то 172.22.0.100)
И вот этот абонент установил ip-камеру. И смотрит он эту камеру софтиной на портах 9998 и 9999 например.
1.Как в дебиане сделать чтоб фаервол перекидывал запросы на ip 1.1.1.1:9998 и 1.1.1.1:9999 в сторону абонента 172.16.0.100:9998 и 172.16.0.100:9999 ?
2.Что делать если завтра 2 абонент захочет ip-камеру. Можно ли чтоб запросы на ip 1.1.1.1:788 и 1.1.1.1:789 летели на 172.16.0.100:9998 и 172.16.0.100:9999 ?
Вопрос именно в написании самих команд этого iptables'а... не получается понять сам принцип работы этого iptables'a.
Заранее благодарю за помощь!
-
By tkapluk
Есть линуксовый сервер с iptables.
На интерфейс Eth0 приходит пакет и успешно отсылается на Eth1. В ответ на этот пакет через Eth2 возвращается ответный пакет и умирает на сервере.
Если ответный пакет возвращается через Eth1 все ок(уходит в Eth0). Новые пакеты с Eth2 в Eth0 тоже идут.
Схематически:
Eth0->[ ]->Eth1 X <-[ ]<-Eth2 Как заставить сервер отправлять ответные пакеты через Eth0? -
By REV
Доброго времени суток!) Дабы ограничить пользователей, решил их скидывать в одну подсеть где нет интернета.
Скидывать всех в одну подсеть, и показывать им страницу "дай денег", это получилось сделать.
Но не понятно как так сделать в iptables, чтобы была возможность с этой странички ходить по ссылкам https в сторону 443 порта?
Думал, добавить filter до prerouting:
192.168.16.0/24 - подсеть без денег
2**.*1*.*5.*7 - адрес куда хотелось бы ходить
*1.*30.2*0.3* - внешний адрес шлюза
iptables -t filter -A INPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT
но не выходит.
Вся секция хождения "в никуда" имеет след. вид:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.16.0/24 -j SNAT --to-source *1.*30.2*0.3* iptables -t filter -A INPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8000 iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 443 -j REDIRECT --to-port 8000 iptables -A FORWARD -s 192.168.16.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.16.0/24 -j ACCEPT
Может, кто-то делал подобное...или, кто-то может подсказать...
-
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now