iptables: 4 verejne ip na jednu sitovku

Ahoj

Mam takovy zajimavy problem. Dostal jsem balicek 4 verejnych ip adres a potrebuji nakonfigurovat linux router ktery bude mit jednu verejnou ip na interfacu eth0 (pro tuhle ip se nastavi firewall a povoli jenom nejake porty) a dalsi bude propoustet dovnitr na switch interfacem eth1(povolene musi byt vsechny porty). Praci s iptables +- znam ale tenhle problem jsem jeste neresil, tak ponekud tapu.

Predem dekuji za radu.

Jeste je jedna moznost, ktera ve FAQ neni a jevi se mi nejbezpecnejsi ze vsech. Vsechny verejne IP adresy si privlastnim na firewallu na eth0. Pak pomoci SNAT/DNAT selektivne propustim urcitej port (napr. 80) pres eth1 na konkretni server v dmz. Vysledek je takovy, ze dana sluzba se obsluhuje serverem v DMZ a vse ostatni (od pingu az po utoky) firewallem. Na DMZ serveru pak muzu mit napr. ssh a nestarat se o to, ze je vlastne dostupne z Internetu.

10.9.2007 09:03 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables: 4 verejne ip na jednu sitovku

To je jen drobná modifikace (té nejnešťastnější) varianty, která ve FAQ zmíněna je. Omezení na vybrané porty (služby) lze samozřejmě snadno provést i u těch ostatních.

10.9.2007 09:39 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: iptables: 4 verejne ip na jednu sitovku

Je to ale jedina mozna varianta kdy je cilovy server nekde za devatero horami a desatero routery. SNAT/DNAT (zcela bez firewallu) pouzivam v siti pro lidi co chteli verejnou IP. Neni s tim vubec zadnej problem. Akorat nekterejm programum se musi vnutit ze nemaji IP 10.x.y.z ale tu verejnou. Neni tam niajk zasadne velkej provoz aby to melo problemy s vykonem.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

Dotaz: iptables: 4 verejne ip na jednu sitovku

Odpovědi