2.4+iptables

[Grzesiek Sojka]

On Fri, 29 Mar 2002, Krzysiek Taraszka wrote:

> Witam,
> 
> ano stalo sie, pojawil sie klient, ktory chce bym mu postawil PLD na jajku 
> 2.4 (ble) i iptables ....
> problem w tym, ze ja sie na iptables nie znam, ipchains, jasne, moge 
> czarowac ile wejdzie :)
> 
> Chcial bym sie dowiedziec jak moge zrobic masq na 2.4 i iptables + prosty 

Oto skrypt:

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Set PREROUTING rules.
iptables -t nat -A PREROUTING -p tcp -s ! 192.168.55.0/24 -d 213.76.201.172/32 --dport 80 -i ppp0 -j DNAT --to 192.168.55.1:80
iptables -t nat -A PREROUTING -p udp -s ! 192.168.55.0/24 -d 213.76.201.172/32 --dport 80 -i ppp0 -j DNAT --to 192.168.55.1:80

iptables -t nat -A PREROUTING -s ! 192.168.55.0/24 -d 192.168.55.0/24 -i ppp0 -j DROP

# Set POSTROUTING rules.

iptables -t nat -A POSTROUTING -p tcp -s 192.168.55.1/32 --sport 80 -d ! 192.168.55.0/24 -o ppp0 -j SNAT --to 213.76.201.172:80
iptables -t nat -A POSTROUTING -p udp -s 192.168.55.1/32 --sport 80 -d ! 192.168.55.0/24 -o ppp0 -j SNAT --to 213.76.201.172:80

iptables -t nat -A POSTROUTING -d ! 192.168.55.0/24 -o ppp0 -j MASQUERADE

Oprocz MASQUERADE ustawia on przekazywanie traficu wchodzacego z  zewnatrz 
na port 80 rutowapnego adresu jest przekazywany na host 213.76.201.172 
(server www). Pozwala to na uruchomienie wewnatrz servera. U mnie oprocz 
www chodzi w ten sposob chodzi jeszcze poczta. Jesli nie jest Ci to 
potrzebne to jak latwo zgadnac nalezy wyciac podwojne linie.

> firewall.
Nie mam doswiadczenia. Na moim routerze nic nie ma i nie jestem pewien czy 
w tej sytuacji firewall jest potrzebny. Serwisy widoczne z zewnatrz chodza 
na wewnetrznych kompach i sa widziane dzieki przekazywaniu traficu z 
okreslonych portow routera.
 
pozdrowka
Grze$!?

PS. Adres zewn. to 213.76.201.172 siec maskowana to 192.168.55.0/24.