firewall

[Antonín Mička]

Dne ne 17. říjen 2004 21:56 Ales Vizdal napsal(a): 
"Re: firewall"

> On Sun, Oct 10, 2004 at 09:19:26PM +0200, Milan Ježek wrote:
>
> Dobrý den,
>
> > obracím se s prosbou na zkušenější.
> > na firewalu mám nastavena pravidla iptables v podstatě dle p.Petříčka a
> > nyní bych tam potřeboval doplnit pravidlo pro umožnění přístupu přes VNC
> > na jednu stanici (dejme tomu IP 192.168.10.1) z konkrétní IP z internetu
> > (dejme tomu 1.2.3.4).
> >
> > Nastavil jsem níže uvedená pravidla, ale něšjak se tam nemohu dostat.
> > VNC mi stále hlásí "..connection timed out". Prosím o kontrolu pravidel
> > (za blbost mne prosím nekamenujte)
> >
> > iptables -t nat -A PREROUTING -i teh1 -p tcp -s 1.2.3.4 --dport 5900 -
> > DNAT --to 192.168.10.1
>
> -i eth1 (mate eth1 inetove rozhrani?)  --to 192.168.10.1:5900
>
> iptables -t nat -A PREROUTING -d INET_IP -p tcp -s 1.2.3.4 --dport 5900\
> -j DNAT --to 192.168.10.1:5900
>
> > iptables -A FORWARD -i eth1 -o 192.168.10.1 -p tcp -s 1.2.3.4 --dport
> > 5900 -j ACCEPT
>
> iptables -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p tcp -d 192.168.10.1\
> --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Jejda, to me nenapadlo. 
Jinak ESTABLISHED a RELATED packety je podle mě lepší povolovat hned na 
začátku řetězce asi takto (pokud to už tak nemáte nastavené): 

iptables -A FORWARD --state ESTABLISHED,RELATED -j ACCEPT


-- 

Antonín Mička
===========