как ограничить доступ

[mos]

прошу помочь разобраться ногами не пинать т.к пока что начитываюсь) всяк информации и на практике ничего не реализовано
у меня 2 вопроса по настройке шлюза
OS ubuntu server 8.04
eth0 LAN 192.168.0.0
eth1 - идет на циску. 192.168.218.0. внешний статика
eth2 - идет на ADSL роутер. Роутер раздает инет сетке. 192.168.1.0 внешний динамика
понятно что на серваке я просто прописываю в resolv.conf днс от 2 ух провайдеров и всё должно работать.

есть 2 провайдера со статикой и с дин IP но безлимитный.
со статики идет подключение по впн(организованной циской) к главному офису в городе М.
задача когда юзеры в RDP подключались к IP 10.10.253.3 (город М) подключение шло через eth1
а все остальное перенаправлялось через eth2. в том числе и для самого сервера. чтоб он понимал сам для себя что ходить через eth1 только по адресу 10.10.253.3
чтоб не возникло разочерований во время обновленния и установки новых пакетов.
можно ли сие дело организовать с помошью iptables? а главное как

[Mam(O)n]

Это к маршрутам относится. Нужно сделать так, чтобы через eth1 был один единственный маршрут к 10.10.253.3/32 через gw циски. И дефолтный маршрут через eth2.

[mos]

ммм т.е  маршруты будут следующие ?
route add -host 10.10.253.3 gw 192.168.218.1 netmask 255.255.255.0 eth2
route add -net 0.0.0.0 gw 192.168.1.50 netmask 255.255.255.0 eth1
route add -net 192.168.0.0 netmask 255.255.255.0 eth0

[Mam(O)n]

точнее:

route add -host 10.10.253.3 gw 192.168.218.1 eth2
route add default gw 192.168.1.50 eth1

Пользователь решил продолжить мысль 01 Декабря 2009, 09:58:34:Да, и еще забыл, про дефолтные в сети, если я правильно понял:

route add -net 192.168.218.0/24 eth2
route add -net 192.168.1.0/24 eth1
route add -net 192.168.0.0/24 eth0

[mos]

Мамон спасибо
но мне говорил что этого недостаточно и надо прописывать прокидку для пользователей в нате

еще разок проскочим
eth2 Local
eth1 LAN ADSL ROUTER
eth0 LAN CISCO
interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.218.100
        netmask 255.255.255.0
        broadcast 192.168.218.255
        network 192.168.218.0
        gateway 192.168.218.1

auto eth1
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        broadcast 192.168.0.255
        network 192.168.0.0
        gateway 192.168.0.50

auto eth2
iface eth2 inet static
        address 192.168.10.100
        netmask 255.255.255.0
        broadcast 192.168.10.255
        network 192.168.10.0

#route add -host 10.10.253.3 gw 192.168.218.1 eth0
#route add default gw 192.168.0.50 eth1
#route add -net 192.168.218.0/24 eth0
#route add -net 192.168.0.0/24 eth1
#route del -net 0.0.0.0 gw 192.168.218.1 eth0
post-up /etc/marsh
post-up /etc/nat

resolv conf
nameserver 195.38.33.2
nameserver 195.38.33.3
route -n

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.253.3     192.168.218.1   255.255.255.255 UGH   0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.218.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
0.0.0.0         192.168.0.50    0.0.0.0         UG    100    0        0 eth1

IPTABLES

#!/bin/sh

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A FORWARD -i eth1 -o eth1 -j REJECT
# iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.10.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.10.100:3128


собственно вопрос с такими настройками будет работать прокидка на 10.10.253.3 ) просто щас проверить не могу офис в городе М толи отпал толи отключен на ночь....
PS до настройки iptables работало. поставил перестало. погуглил не нашел. домой пора... загрузился с винды там тоже 10.10.253.3 не работает хотя в инет с циски ходит

[Mam(O)n]

но мне говорил что этого недостаточно и надо прописывать прокидку для пользователей в нате

ага, точно. Либо на циске маршрутизацию настраивать либо маскардить на Ubuntu. Пойдём вторым путём:

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT


auto eth0
iface eth0 inet static
        address 192.168.218.100
        netmask 255.255.255.0
        broadcast 192.168.218.255
        network 192.168.218.0
        gateway 192.168.218.1

Лучше убери дефолтный маршрут, от греха подальше.

зы. Текущий конфиг iptables конечно не фонтан, но работать будет.

[mos]

thx
немного не понятен смысл не фонтан в плане безопасности или он корявый ) как мои пальцы 
если первое то щас стоит задача как можно быстрее поднять сервак и отказаться от винды.
пооффтопим Сыпится она а остоваться на винде сыкотно.
осталось проверить связь до главного офиса и поставить сквид с htb антивирусник
танцы с бубном и самба готова )
на счет масс рассылки в разные темы сорри) неадекватен  

[Mam(O)n]

При

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

это

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT

теряет какой-либо смысл. Все порты открыты и форвардинг разрешен в любом варианте, кроме eth1 <=> eth1.

[mos]

взял готовый скрипт

#Разрешим пропуск трафика через шлюз
sysctl -w net.ipv4.ip_forward="1"

#Установим политики по умолчанию для цепочек в DROP, запретив все соединения кроме тех, которые будут разрешены
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Разрешим входящие соединения на маршрутизатор с внутренней сети
iptables -A INPUT -i eth0 --source 192.168.10.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим маршрутизатору отвечать компьютерам во внутренней сети
iptables -A OUTPUT -o eth0 --destination 192.168.10.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT


#Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений и установленных соединений:
iptables -A FORWARD -i eth0 --source 192.168.10.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 --source 192.168.10.0/24 --destination 10.10.253.3 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений
iptables -A FORWARD -i eth2 --destination 192.168.10.0/24 --match state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 --destination 192.168.10.0/24 --match state --state ESTABLISHED -j ACCEPT

заработает ?

[AnrDaemon]

Попробуй?