Вопросы Теги

Настройте поведение фильтрации NAT с iptables

Предполагается, что

/dev/shm используется только функциями shm_* и sem_*, реализующими функции общей памяти POSIX и и семафоров . Она используется уже довольно давно и, учитывая её роль, имеет смысл хранить её в памяти.

/sys/fs/cgroup больше похожа на виртуальную файловую систему, используемую для cgroups, поэтому опять же имеет смысл хранить её в памяти, так же как и /proc.

Остальные каталоги являются частью нового каталога /run предложения , сделанного Леннартом Поэтерингом, автором systemd:

/run теперь является tmpfs, и /var/run к нему привязана. /var/lock привязан к /run/lock.

OpenSuse использует systemd, так что вы не можете избавиться от них, насколько я знаю.

.

1
18.06.2014, 15:07
1 ответ
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT

Что делают эти правила?

  1. -A POSTROUTING -o eth1 -j MASQUERADE скрывает ваш внутренний IP, так как пакеты покидают вашу сеть
  2. -P FORWARD -j DROP устанавливает политику по умолчанию для вашей цепочки FORWARD на DROP
  3. -A FORWARD -o eth1 -m state --state НОВИНКА, ESTABLISHED -j ACCEPT допускает новые и установленные ЗАПРЕЩЕННЫЕ соединения
  4. -A FORWARD -i eth1 -m состояние --state ESTABLISHED - j ACCEPT разрешает только установленные FORWARDed соединения в

Правила выше предполагают, что вы используете этот ящик в качестве шлюза/брандмауэра, при этом eth1 подключен к вашей WAN и eth0 подключен к вашей локальной сети.

Дополнительное считывание: Построение маршрутизации и маскировка IP-адресов

EDIT

Для настройки "условной" переадресации портов:

По порту источника 

iptables -A PREROUTING -t nat -i eth1 -p tcp --sport [trusted_source_port] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT

По IP-адресу источника 

iptables -A PREROUTING -t nat -i eth1 -p tcp -s [trusted_source_ip] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT
2
27.01.2020, 23:38

Теги

Похожие вопросы