Pravidlo IPtables zapsané do Shorewallu

mart1

Pravidlo IPtables zapsané do Shorewallu
« kdy: 29. 04. 2021, 20:57:29 »
Ahoj.

Měl by jsem prosbu  jak by měl vypadat správný tvar zápisu tohoto pravidla do shorewallu.  Prakticky je to "lopatovadlo SSH"
(vezme SSH prichozi na portu 3333 -> schova za IP 10.10.10.254 -> spoji se na 10.10.250.1 port 22...).
 
Kód: [Vybrat]
iptables -t nat -A PREROUTING -p tcp --dport 3333 -j DNAT --to-destination 10.10.250.1:22
iptables -t nat -A POSTROUTING -p tcp -d 10.10.250.1 --dport 22 -j SNAT --to-source 10.10.10.254
iptables -t nat -L -n

« Poslední změna: 29. 04. 2021, 21:31:55 od Petr Krčmář »


Re:Pravidlo IPtables zapsané do Shorewallu
« Odpověď #1 kdy: 29. 04. 2021, 22:18:20 »
A jaký zápis nefunguje?

Ahoj.

Měl by jsem prosbu  jak by měl vypadat správný tvar zápisu tohoto pravidla do shorewallu.  Prakticky je to "lopatovadlo SSH"
(vezme SSH prichozi na portu 3333 -> schova za IP 10.10.10.254 -> spoji se na 10.10.250.1 port 22...).
 
Kód: [Vybrat]
iptables -t nat -A PREROUTING -p tcp --dport 3333 -j DNAT --to-destination 10.10.250.1:22
iptables -t nat -A POSTROUTING -p tcp -d 10.10.250.1 --dport 22 -j SNAT --to-source 10.10.10.254
iptables -t nat -L -n

Re:Pravidlo IPtables zapsané do Shorewallu
« Odpověď #2 kdy: 04. 05. 2021, 18:10:21 »
Jsi si jistý, že potřebuješ 2 pravidla?

na tom mě zaujalo
Kód: [Vybrat]
Warning
If you masquerade or use SNAT from a local system to the internet, you cannot use an ACCEPT rule to allow traffic from the internet to that system. You must use a DNAT rule instead.
když dám
Kód: [Vybrat]
iptables -t nat -A POSTROUTING -p tcp -d 10.10.250.1 --dport 2002 -j DROP
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.

iptables -t nat -A POSTROUTING -p tcp -d 10.10.250.1 --dport 2002 -j ACCEPT
# vloženo a, ŽÁDNOU CHYBU NEHÁZÍ
Jaká je tedy (ne)smysl ACCEPT v nat?