forum.opennet.ru - "iptables DNAT и FORWARD" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables DNAT и FORWARD"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables DNAT и FORWARD"	+/–
Сообщение от Zenith (ok) on 02-Окт-13, 01:05
Здравствуйте, дорогие форумчане. Вопрос очень прост. Как ПРАВИЛЬНО написать правила проброса порта с внешного ip на хост внутри локальной сети? У меня 2 варианта: 1) Ограничиваем проброс указанием источника: -A PREROUTING -t nat -s 1.1.1.1 -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1 и разрешаем проход в FORWARD -A FORWARD -i eth2 -o eth0 -d 192.168.1.1 -p tcp --dport 3389 -j ACCEPT 2) Или же пробрасываем всех страждущих -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1 а не угодных "косим" в FORARD -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 -j ACCEPT -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP Какое решение, идиологически, более правильное??
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables DNAT и FORWARD, PavelR, 07:32 , 02-Окт-13, (1)
iptables DNAT и FORWARD, reader, 11:12 , 02-Окт-13, (2)

iptables DNAT и FORWARD, Zenith, 21:17 , 02-Окт-13, (3)

iptables DNAT и FORWARD, reader, 08:15 , 03-Окт-13, (5)

iptables DNAT и FORWARD, John, 22:07 , 02-Окт-13, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables DNAT и FORWARD" +/–

Сообщение от PavelR (ok) on 02-Окт-13, 07:32

> Какое решение, идиологически, более правильное??
Я думаю, что в случае DNAT решение зависит от задачи.
Например, может случиться так, что с другого src IP пойдет на другой dnat IP, и т п.
Опять же, зависит от числа IP, которым разрешено. Если их >1 я бы делал по варианту 2, но с учетом вышенаписанного мной.

---
В случае с SNAT решение "фильтровать в nat" обычно приводит к тому, что на внешнем интерфейсе летают пакеты с адресами внутренней сети.
---
В общем случае, на мой взгляд, "правильно идеологически" - это сделать так, чтобы минимальное манипулирование правилами приводило к максимально корректному на ваш взгляд результату - т.е. минимизировать свою работу при максимальном уровне правильности правил.
Такая минимизация полезна, т.к. уменьшается вероятность "чего-нибудь забыть".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables DNAT и FORWARD" +/–

Сообщение от reader (ok) on 02-Окт-13, 11:12

>[оверквотинг удален]
> -A FORWARD -i eth2 -o eth0 -d 192.168.1.1 -p tcp --dport 3389
> -j ACCEPT
> 2) Или же пробрасываем всех страждущих
> -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389
> -j DNAT --to-destination 192.168.1.1
> а не угодных "косим" в FORARD
> -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389
> -j ACCEPT
> -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP
> Какое решение, идиологически, более правильное??
если сделаете по 1 варианту , то желательно не угодных "косим" в INPUT, но там можно политикой по умолчанию обойтись

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "iptables DNAT и FORWARD" +/–

Сообщение от Zenith (ok) on 02-Окт-13, 21:17

>[оверквотинг удален]
>> 2) Или же пробрасываем всех страждущих
>> -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389
>> -j DNAT --to-destination 192.168.1.1
>> а не угодных "косим" в FORARD
>> -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389
>> -j ACCEPT
>> -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP
>> Какое решение, идиологически, более правильное??
> если сделаете по 1 варианту , то желательно не угодных "косим" в
> INPUT, но там можно политикой по умолчанию обойтись
Не-не-не. INPUT тут не участвует. Это транзитный трафик.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "iptables DNAT и FORWARD" +/–

Сообщение от reader (ok) on 03-Окт-13, 08:15

>[оверквотинг удален]
>>> -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389
>>> -j DNAT --to-destination 192.168.1.1
>>> а не угодных "косим" в FORARD
>>> -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389
>>> -j ACCEPT
>>> -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP
>>> Какое решение, идиологически, более правильное??
>> если сделаете по 1 варианту , то желательно не угодных "косим" в
>> INPUT, но там можно политикой по умолчанию обойтись
> Не-не-не. INPUT тут не участвует. Это транзитный трафик.
транзитный это для кого dnat сделаете, а кого не завернете - INPUT. Если конечно ip назначения изначально - ip этой машины

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "iptables DNAT и FORWARD" +/–

Сообщение от John (??) on 02-Окт-13, 22:07

Модно сделать так
# здесь проверяются только пакеты RDP
iptables -t nat -N RDP
iptables -t nat -A RDP -s 1.1.1.1 -d 2.2.2.2 -j DNAT --to-destination 192.168.1.1
iptables -t nat -A RDP -s A.B.C.D -d E.F.G.H -j DNAT --to-destination I.J.K.L
# не тратим ресурсы на непрошенных гостей
iptables -t nat -A RDP -j TARPIT
# каждый пакет проверяется здесь только один раз
iptables -t nat -p tcp -m tcp --dport 3389 -g RDP
# если есть желание отфильтровать что-нибудь - IMHO: чем раньше - тем меньше ресурсов на это будет потрачено

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables DNAT и FORWARD"	+/–
Сообщение от PavelR (ok) on 02-Окт-13, 07:32
> Какое решение, идиологически, более правильное?? Я думаю, что в случае DNAT решение зависит от задачи. Например, может случиться так, что с другого src IP пойдет на другой dnat IP, и т п. Опять же, зависит от числа IP, которым разрешено. Если их >1 я бы делал по варианту 2, но с учетом вышенаписанного мной. --- В случае с SNAT решение "фильтровать в nat" обычно приводит к тому, что на внешнем интерфейсе летают пакеты с адресами внутренней сети. --- В общем случае, на мой взгляд, "правильно идеологически" - это сделать так, чтобы минимальное манипулирование правилами приводило к максимально корректному на ваш взгляд результату - т.е. минимизировать свою работу при максимальном уровне правильности правил. Такая минимизация полезна, т.к. уменьшается вероятность "чего-нибудь забыть".
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "iptables DNAT и FORWARD"	+/–
Сообщение от reader (ok) on 02-Окт-13, 11:12
>[оверквотинг удален] > -A FORWARD -i eth2 -o eth0 -d 192.168.1.1 -p tcp --dport 3389 > -j ACCEPT > 2) Или же пробрасываем всех страждущих > -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 > -j DNAT --to-destination 192.168.1.1 > а не угодных "косим" в FORARD > -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 > -j ACCEPT > -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP > Какое решение, идиологически, более правильное?? если сделаете по 1 варианту , то желательно не угодных "косим" в INPUT, но там можно политикой по умолчанию обойтись
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "iptables DNAT и FORWARD"	+/–
	Сообщение от Zenith (ok) on 02-Окт-13, 21:17
	>[оверквотинг удален] >> 2) Или же пробрасываем всех страждущих >> -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 >> -j DNAT --to-destination 192.168.1.1 >> а не угодных "косим" в FORARD >> -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 >> -j ACCEPT >> -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP >> Какое решение, идиологически, более правильное?? > если сделаете по 1 варианту , то желательно не угодных "косим" в > INPUT, но там можно политикой по умолчанию обойтись Не-не-не. INPUT тут не участвует. Это транзитный трафик.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "iptables DNAT и FORWARD"	+/–
	Сообщение от reader (ok) on 03-Окт-13, 08:15
	>[оверквотинг удален] >>> -A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 >>> -j DNAT --to-destination 192.168.1.1 >>> а не угодных "косим" в FORARD >>> -A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 >>> -j ACCEPT >>> -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP >>> Какое решение, идиологически, более правильное?? >> если сделаете по 1 варианту , то желательно не угодных "косим" в >> INPUT, но там можно политикой по умолчанию обойтись > Не-не-не. INPUT тут не участвует. Это транзитный трафик. транзитный это для кого dnat сделаете, а кого не завернете - INPUT. Если конечно ip назначения изначально - ip этой машины
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

4. "iptables DNAT и FORWARD"	+/–
Сообщение от John (??) on 02-Окт-13, 22:07
Модно сделать так # здесь проверяются только пакеты RDP iptables -t nat -N RDP iptables -t nat -A RDP -s 1.1.1.1 -d 2.2.2.2 -j DNAT --to-destination 192.168.1.1 iptables -t nat -A RDP -s A.B.C.D -d E.F.G.H -j DNAT --to-destination I.J.K.L # не тратим ресурсы на непрошенных гостей iptables -t nat -A RDP -j TARPIT # каждый пакет проверяется здесь только один раз iptables -t nat -p tcp -m tcp --dport 3389 -g RDP # если есть желание отфильтровать что-нибудь - IMHO: чем раньше - тем меньше ресурсов на это будет потрачено
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору