Beállítás nat, DNAT a linux iptables
Arról, hogy mi lesz szó
Ez nagyon egyszerű, ismét elmagyarázza a fórum kezdőknek a világon a Linux, hogy mit igen, mint rájöttem, hogy a hatalmas internet nem talált gyűlt össze egy cikket egy magyarázatot nem csak iptables konfigurációt, hanem a hálózat egyes alapokat.
Így Bemutatom a figyelmet egy kis kitérőt a tűzfal konfigurációs Linux. Ásni csak beállítás netfilter / iptables, a fennmaradó alkalmazási kérdésekre, természetesen szintén érinteni, mert hiányzik az átfogó válasz a kérdéseinkre ... És megpróbálom ka lehet több világosan meghatározott ide egyáltalán.
Hogyan néz ki
Figyelembe vesszük a tipikus rendszer az irodák és lakások, igen, ez lakások! Kevesen servachok saját kis házat az asztal alatt, de a legtöbb online otthoni keresztül terjesztett egy router, és a legtöbb esetben ők is varrt Linux.
Ez egy tipikus diagramját egy kis irodában. Ha csatlakozik az internethez 1 számítógép (szerver), a többi pedig csatlakozik az internethez belül ezen a szerveren.
Gyerünk, apránként.
És így néz ki:
- 2 hálózati kártyák és állítsa be a Debian Lenny szerver
- alapértelmezetten elérhető Debian Lenny tűzfal - netfilter / iptables
- helyi hálózat N számítógépek, az összes csatlakoztatott kapcsolón keresztül, beleértve a kiszolgáló
Mi az a NAT
Most, hogy tudjuk, mi a NAT és a mi ez, tudjuk folytatni kiszolgáló konfigurálásához.
átmenő forgalom
konfigurálja iptables
A apróságok.
Hozzáférés a gyomrában a hálózati átjárón keresztül vagy DNAT
Szóval mi van a kedvenc tintahal
És bár most minden működik, mind az interneten, és minden működik, néhány még mindig szükség van egy proxy szerver. Nem fogok beszélni, hogyan kell beállítani a tintahal, megmutatom a szabály teszi, hogy „átlátható”. A tintahal kell csak regisztrálni varázsszó átlátható a megfelelő helyen, és akkor indul el megfelelően kezelje a kéréseket esett rá.
írás
$ Iptables -A PREROUTING -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80443 -j REDIRECT --to-port 3128.
És mit ad ez? Most az összes kérés weboldalak a munkahelyek http ((80) és https (443) protokoll lesz irányítva a port figyel tintahal. Kapsz tartalomszűrés, az információ arról, hogy ki hol van, és mit csinál az interneten, a felhasználó vagy bármi tudatában működik, mint korábban ...
kis biztonságot
Meg kell legalább minimálisan védje átjárón, adjunk hozzá egy pár szabályok
$ Iptables -A INPUT -i lo -j ACCEPT
$ Iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$ Iptables -A INPUT -i eth1 -m conntrack --ctstate KAPCSOLÓDÓ, LÉTRE -j ACCEPT
$ Iptables -P INPUT DROP
Így tilos bármilyen kommunikációs közvetlenül az átjáró, ráadásul egy már meglévő kapcsolatot, azaz a azokat, amelyeket az Ön által kezdeményezett, és csak kap választ. Ne félj a mi DNAT hogy ezek a szabályok csak nem kap ...