Firewall in Linux. А точнее использование NAT

Что мы имеем:
1)Маршрутизатор (в виде центрального сервера – шлюза)
2)Внутренние сервера компании подключенные через свитч к 1.
3) ip адреса
а)на маршрутизаторе eth0-first ip adress and eth1 local ip adress 192.168.10.1
б)внутренние сервера имеют локальные ip адреса вида 192.168.10.
4)Опишем внутренние сервера
192.168.10.2 – web server
192.168.10.3 – mail server
192.168.10.4 – ftp server
192.168.10.5 – Mysql (jnly 3306 port)
И желательно, чтобы еще каждый сервер был доступен из внешки к примеру для администрирование через webmin (ну это кому как удобно)
И так приступим…
a) разрешаем пользователям установить соединения с замаскированными привилигированными портами (TCP and UDP)
iptables -t nat -A POSTROUTING -o eth0 -p tcp -j SNAT –to eth1 local ip adress:0-1023
iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT –to eth1 local ip adress:0-1023
б) разрешим соединение с сервером Mysql (3306 порт)
iptables -t nat -A POSTROUTING -o eth0 -p tcp -j SNAT –to eth1 local ip adress:3306
в)маскируем ICMP трафик
iptables -t nat -A POSTROUTING -i -p ICMP -j SNAT –to eth0-first ip adress
г)и самое главное делаем переадресацию портов HTTP (80), SMTP (25), POP3 (110), FTP (21), Mysql (3306) – на соответствующие системы
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to 192.168.10.2:80
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 25 -j DNAT –to 192.168.10.3:25
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 110 -j DNAT –to 192.168.10.3:110
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 21 -j DNAT –to 192.168.10.4:21
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 3306 -j DNAT –to 192.168.10.5:3306
е)и на последок разрешим работать с webmin
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 10002 -j DNAT –to 192.168.10.2:10000
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 10003 -j DNAT –to 192.168.10.3:10000
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 10004 -j DNAT –to 192.168.10.4:10000
iptables -t nat -PREROUTING -i eth0 -p tcp –dport 10005 -j DNAT –to 192.168.10.5:10000
ПРИМЕЧАНИЕ: На внешке используется eth0-first ip adress, если требуется добавить резервирование канала, необходимо добавить (сетевуху к примеру eth2) и соответствующие правила для eth2-second ip adress
Взято из логов моей аси… Не стоит думать о том, что эти правила позволяют создать полностью зашишенную организацию сети… Данная статья представлена для того, чтобы понять как же работает NAT в Linux…Почему применябт данный метод??? Ведь количество ip адресов стремительно уменьшается… Ведь все сервера находящиеся за центральным сервером из внешки видны по одному ip адресу… Вроде ниче не забыл…


Добавить комментарий

 

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.