iptables + tunel

Dobry den,

potreboval bych za linux sever (fw s iptables) dat masinu co bude mit verejnou IP. Pry se to dela nejak pres tunel v iptables, potrebuju povolit sluzby na portech 21, 25 a 110.

Internet --> linux server s verejnou IP + fw (iptables)--> interni sit --> dalsi PC s verejnou IP

Nevite prosim jak na to? Nema toho uz nekdo vyresene?

Odpovědi

To se mi moc nezda... spis bych pochopil, ze by to pc v LAN melo privatni, ale z internetu by bylo videt jako ze ma verejnou. To je easy. Jinak bys musel mit prideleny subnet od providera rozdelenej na dasli subnety a routovat je. To by ale znamenalo, ze proveder by nemel tyto dale routovane IP directly connected, ale musel by je mit zase za nejakym nexthopem. Coz je uplne divne, protoze by byly v lokalni siti, kde by zaroven byly privatni IP adresy. Nebo pak DMZ. kolisko

Rekl bych asi nejak takhle:

$IPTABLES -t nat -A POSTROUTING -o $VNEJSI_INTERFACE -s $IP_MAIL_SERVER -j SNAT --to-source $IP_VNEJSIHO_INTERFACE_MAIL $IPTABLES -t nat -A PREROUTING -p tcp -m multiport -d $IP_VNEJSIHO_INTERFACE_MAIL --destination-ports $TCP_MULTIPORT_MAIL -j DNAT --to-destination $IP_MAIL_SERVER $IPTABLES -A FORWARD -p tcp -m multiport -d $IP_VNEJSIHO_INTERFACE_MAIL --destination-ports $TCP_MULTIPORT_MAIL -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -d $IP_MAIL_SERVER -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -s $IP_MAIL_SERVER -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p tcp -m multiport -d $IP_VNEJSIHO_INTERFACE_MAIL --destination-ports $TCP_MULTIPORT_MAIL -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -p udp -m multiport -d $IP_VNEJSIHO_INTERFACE_MAIL --destination-ports $UDP_MULTIPORT_MAIL -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p icmp -d $IP_VNEJSIHO_INTERFACE_MAIL -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -s $IP_VNEJSIHO_INTERFACE_MAIL -m state --state NEW -j ACCEPT

Dotaz: iptables + tunel

Odpovědi