Jak nastavit iptables pro DMZ

[Michal Kubecek]

On Fri, Jan 03, 2003 at 02:23:57PM +0100, Pavel Lisy wrote:

> To s forwardem me zase prekvapilo a uz jsem na to vickrat narazil :-)))

Pokud jste byl zvyklý na ipchains, tam skutečně do řetězce "input" šlo
vše, co přišlo zvenku. Takhle je to ale ve většině praktických aplikací
jednodušší.

> > z praktických důvodů je vhodnější místo IP adresy testovat rozhraní. Tedy
> > 
> >   iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> >   iptables -A FORWARD -i eth0 -o eth1 -j DROP
> To bylo ono, moc diky!

Jenom samozřejmě nesmíte zapomenout na

  iptables -A FORWARD -i eth2 -o eth1 -j DROP

což je ještě důležitější než blokování provozu z DMZ.

                                                            Michal Kubeček