Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Petr 13. 04. 2010, 11:19:39
-
Zdravim,
chtel bych se zeptat jestli nekdo nevite o lepsim reseni zapisu do IP tables:
# pravidla pro prichozi pakety ze site 90.182.xxx.xxx/28 do site 194.228.xxx.xxx/29
-A FORWARD -s 90.182.xxx.xxx/28 -d 194.228.xxx.xxx/29 -p tcp -m multiport --destination-ports 22,80,443,1352 -j ACCEPT
# pravidla pro prichozi pakety ze site 194.228.xxx.xxx/29 do site 90.182.xxx.xxx/28
-A FORWARD -s 194.228.xxx.xxx/29 -d 90.182.xxx.xxx/28 -p tcp -m multiport --destination-ports 22,80,443,1352 -j ACCEPT
jde mi o to ze timto zpusobem spojuji 3 ruzne rozsahy IP coz pro me znamena 6radek. 2 rady jsou vzdy pro jeden rozsah, jeden radek je smer K a druhy radek je smed OD. Pri predstave ze bych mel takovychto rozsahu 30 tak se z toho zblaznim a IP tables jsou neprehledne.
Neni nejaka moznost zapisu obousmerne? Nebo dohromady?
-
Co třeba shellový skript a tyhle pravidla "odhodit" do samostatného chainu, který takové pakety omarkuje?
-
A nebude praktictejsi povolit jen porty a pro vsechny ip?
-A FORWARD -s 0/0 -d 0/0 -p tcp -m multiport --destination-ports 22,80,443,1352 -j ACCEPT
Popr. k tomuto pravidlu muzes uz jen pripisovat pravidla pro konkretni ip.
-
nelze jedna se o DMZ
-
ja by som to skriptil cez bash a config subor(y), pravidla sa nacitavaju cyklom a je po ftakoch ;-)
-
Co povolit forwarding a resit pouze vstup v tabulce mangle postrouting ?
NN
-
to NN: to nevyresi problem akorad vynecham jednu cast...
to AA: to zni docele slibne mozna ze byt o opravdu mohlo vyresit co bych chtel. Kde bych mohl zjiskat nejake info o vyrobe takoveho scriptu nebo nejlepe ten script?