Firewall in Linux. А точнее использование NAT

Что мы имеем:
1)Маршрутизатор (в виде центрального сервера — шлюза)
2)Внутренние сервера компании подключенные через свитч к 1.
3) ip адреса
а)на маршрутизаторе eth0-first ip adress and eth1 local ip adress 192.168.10.1
б)внутренние сервера имеют локальные ip адреса вида 192.168.10.
4)Опишем внутренние сервера
192.168.10.2 — web server
192.168.10.3 — mail server
192.168.10.4 — ftp server
192.168.10.5 — Mysql (jnly 3306 port)
И желательно, чтобы еще каждый сервер был доступен из внешки к примеру для администрирование через webmin (ну это кому как удобно)
И так приступим…
a) разрешаем пользователям установить соединения с замаскированными привилигированными портами (TCP and UDP)
iptables -t nat -A POSTROUTING -o eth0 -p tcp -j SNAT —to eth1 local ip adress:0-1023
iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT —to eth1 local ip adress:0-1023
б) разрешим соединение с сервером Mysql (3306 порт)
iptables -t nat -A POSTROUTING -o eth0 -p tcp -j SNAT —to eth1 local ip adress:3306
в)маскируем ICMP трафик
iptables -t nat -A POSTROUTING -i -p ICMP -j SNAT —to eth0-first ip adress
г)и самое главное делаем переадресацию портов HTTP (80), SMTP (25), POP3 (110), FTP (21), Mysql (3306) — на соответствующие системы
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 80 -j DNAT —to 192.168.10.2:80
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 25 -j DNAT —to 192.168.10.3:25
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 110 -j DNAT —to 192.168.10.3:110
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 21 -j DNAT —to 192.168.10.4:21
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 3306 -j DNAT —to 192.168.10.5:3306
е)и на последок разрешим работать с webmin
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 10002 -j DNAT —to 192.168.10.2:10000
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 10003 -j DNAT —to 192.168.10.3:10000
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 10004 -j DNAT —to 192.168.10.4:10000
iptables -t nat -PREROUTING -i eth0 -p tcp —dport 10005 -j DNAT —to 192.168.10.5:10000
ПРИМЕЧАНИЕ: На внешке используется eth0-first ip adress, если требуется добавить резервирование канала, необходимо добавить (сетевуху к примеру eth2) и соответствующие правила для eth2-second ip adress
Взято из логов моей аси… Не стоит думать о том, что эти правила позволяют создать полностью зашишенную организацию сети… Данная статья представлена для того, чтобы понять как же работает NAT в Linux…Почему применябт данный метод??? Ведь количество ip адресов стремительно уменьшается… Ведь все сервера находящиеся за центральным сервером из внешки видны по одному ip адресу… Вроде ниче не забыл…


Добавить комментарий