Portál AbcLinuxu, 13. července 2025 22:34
Potřeboval bych na firewallu zakázat veškerou komunikaci ze sítě ven, kromě vybraných portů. Ale stále mi to nefunguje. Používám přesměrování na Squida. Venkovní rozhraní je vlan89. Zde je můj firewall:
iptables -t nat -F
iptables -t nat -A PREROUTING -s $SQUIDIP -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination $SQUIDIP:3128
iptables -t nat -A POSTROUTING -o vlan89 -j MASQUERADE
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i vlan100 -j ACCEPT
iptables -A INPUT -i vlan101 -j ACCEPT
iptables -A INPUT -i vlan102 -j ACCEPT
iptables -A INPUT -i vlan103 -j ACCEPT
iptables -A INPUT -i vlan400 -j ACCEPT
iptables -A INPUT -i vlan401 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
26.8.2009 11:48
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Když si dáš příkaz
watch -d "iptables -nvL -t nat"uvidíš tam načítání counterů ... snad napoví
(mam dojem, že potřebuješ v natu i mimo nat nějak ošetřit provoz.)
iptables -P OUTPUT DROP iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o vlan100 -j ACCEPT....... Případně ještě upravit forward pro jiné PC pro které ti PC dělá router.
Nezmylil si si nahodou chain INPUT s chainom OUTPUT?
INPUT = z vonku do vnutra
OUTPUT = z vnutra von
myslim ze tam bude chyba
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.