iptables, доступ в инет

[dovran7777]

Задача в том чтобы только один комп в сети получал доступ в инет (10.110.1.70)
Сервер Ubuntu 14.04
два интерфейса
em1: 10.10.10.1 - инет
em2: 10.110.1.1 - локальная сеть

Код: [Выделить]

sudo iptables -F
sudo iptables -t nat -F

sudo iptables -t nat -A PREROUTING -p tcp -d 10.10.10.1 --dport 80 -j DNAT --to-destination 10.110.1.70:80
sudo iptables -t nat -A POSTROUTING -p tcp --dst 10.110.1.70 --dport 80 -j SNAT --to-source 10.10.10.1

iptables-save > /etc/network/iptables


[AnrDaemon]

Всё неправильно.

iptables -A FORWARD -s 10.110.1.70 -j ACCEPT

Права доступа контролируются в цепочке filter, а не где вам вздумается.

[dovran7777]

Всё неправильно.

iptables -A FORWARD -s 10.110.1.70 -j ACCEPT

Права доступа контролируются в цепочке filter, а не где вам вздумается.

то есть вот так?

Код: [Выделить]

iptables -F
iptables -t nat -F
iptables -A FORWARD -s 10.110.1.70 -j ACCEPT
iptables-save > /etc/network/iptables

Сделал, вроде не пашет

[fisher74]

Вам говорили только про фильтрацию. Про NAT, в частности про SNAT, никто не оговаривался. Правда в Вашей интерпретации он мёртвый.

Ваш последний скрипт - попытка сделать открытую дверь ещё более открытой...

К тому же, скорее всего, забыли разрешить форвард пакетов
Смотреть здесь:

Код: [Выделить]

sysctl net.ipv4.ip_forward
Изучите на досуге прикреплённую тему про расшаривание интернета. Когда научитесь расшаривать интернет для подсети, тогда и с одним хостом справитесь.

[dovran7777]

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.110.0.70 -j MASQUERADEИ заработало)

форвардинг был включён, я его включал.

[fisher74]

Это самое быстрое и почти чётко выраженное правило (ибщобы -o em1 добавить).

Но  есть минус... Я бы всё же запретил беспорядочный пропуск пакетов

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptavles -A FORWARD -s 10.110.0.70 -em1 -j ACCEPT

[Karl500]

Насколько я понимаю, адрес интерфейса статический? Тогда лучше использовать не MASQUERADE, a SNAT (http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html)

[AnrDaemon]

Всё неправильно.

iptables -A FORWARD -s 10.110.1.70 -j ACCEPT

Права доступа контролируются в цепочке filter, а не где вам вздумается.

то есть вот так?

Код: [Выделить]

iptables -F
iptables -t nat -F
iptables -A FORWARD -s 10.110.1.70 -j ACCEPT
iptables-save > /etc/network/iptables

Сделал, вроде не пашет

Сколько раз можно просить - НЕ НАДО показывать сферические команды в вакууме.
Показывайте iptables-save, если хотите подсказок по вашим правилам.

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 10.110.0.70 -j MASQUERADEИ заработало)

форвардинг был включён, я его включал.

Смотрите выше - неправильно.

[fisher74]

Тогда лучше использовать не MASQUERADE, a SNAT

Для одного адреса не думаю, что это критичное замечание. Да и для небольшой сети тоже.
ИМХО, применение SNAT вместо MASQUERADE является скорее оптимизационной мерой. Для хоум-роутеров на базе старого системника маскарад вполне удобоваримый и более прозрачен для понимания начинающему администратору. Для железных роутеров с ограниченными ресурсами - да, как раз лучше применить SNAT. Но опять же.. исключительно для оптимизации с целью снижения нагрузки на ядро.