Jak nastavit iptables pro DMZ

Pátek Leden 3 12:22:06 CET 2003

Nemohu hnout s takovym hloupym problemkem

man nasledujici sit

          | eth2 - internet
          | 
     ------------ eth0 - DMZ
     |  fw/gw   | ---
     ------------
          |
          | eth1 - interni sit (exp. adresy  napr: 192.168.200.0/24)

z eth1 -> eth2 je maskovani
z eth1 -> eth0 je maskovani

Problem se ukazal, kdyz jsem zkusil ping (nebo ssh) z DMZ (eth0) do
interni site (eth1), coz nechci, aby slo. Zil jsem v blahove predstave
ze to resi NAT/masquarade, coz je asi bez problemu z externi site,
protoze by pakety do experimentalni site nemely korektne nastavenym
routovanim projit (opravte me, jak to lze udelat, pokud to jde).

kdyz nastavim napr.:
/sbin/iptables -I INPUT -i eth0 -d 192.168.200.0/24 -j DROP

ping a ssh z DMZ -> interni site stejne funguji. Muzete mi nekdo
vysvetlit, jak je to mozne a jak to tedy zakazat?

Pavel