Всем привет… Я новичок тут… У меня несколько интернет-IP-адресов, и они dstnat’ed к нескольким статическим IP-адресам в моей локальной сети, например:
Chain: dstnat
Dst addy: 72.14.207.90
Action: dst-nat
To addy: 172.16.1.10
To ports: 0-65535
и
Chain: srcnat
Src Addy: 172.16.1.10
Action: src-nat
To addy: 72.14.207.90
To potrs: 0-65535
Это правильный способ настроить 1:1? Также у меня похожие записи для "72.14.207.91-95" dst и src nat’d к 172.16.1.11-15.
Вроде все работает нормально, пока не пытаюсь настроить файрвол. Я настроил несколько правил фильтрации:
Chain: forward
Dst addy: 172.16.1.12
Protocol: 6 (tcp)
Dst port: 25
Action: accept
Я сделал то же самое для других портов, таких как 110, 80, 22 и т.д. — разные порты для разных серверов. Затем для самого последнего правила фильтрации я настроил drop, чтобы заблокировать остальные порты:
Chain: forward
Dst addy: 172.16.1.10-172.16.1.15
Action: drop
И вроде все блокируется нормально, но при этом блокируется весь исходящий трафик с серверов 172.16.1.10-15. Например, когда включено это последнее правило фильтрации, я не могу telnet на IP-адрес за пределами моей сети. Я также пробовал dst/srcnat’ing только тех портов, которые нужны, но у меня все равно возникали проблемы с подключением с этих серверов к чему-либо за пределами моей сети.
Не подскажет ли кто, в каком направлении двигаться? Спасибо за любую помощь.
Chain: dstnat
Dst addy: 72.14.207.90
Action: dst-nat
To addy: 172.16.1.10
To ports: 0-65535
и
Chain: srcnat
Src Addy: 172.16.1.10
Action: src-nat
To addy: 72.14.207.90
To potrs: 0-65535
Это правильный способ настроить 1:1? Также у меня похожие записи для "72.14.207.91-95" dst и src nat’d к 172.16.1.11-15.
Вроде все работает нормально, пока не пытаюсь настроить файрвол. Я настроил несколько правил фильтрации:
Chain: forward
Dst addy: 172.16.1.12
Protocol: 6 (tcp)
Dst port: 25
Action: accept
Я сделал то же самое для других портов, таких как 110, 80, 22 и т.д. — разные порты для разных серверов. Затем для самого последнего правила фильтрации я настроил drop, чтобы заблокировать остальные порты:
Chain: forward
Dst addy: 172.16.1.10-172.16.1.15
Action: drop
И вроде все блокируется нормально, но при этом блокируется весь исходящий трафик с серверов 172.16.1.10-15. Например, когда включено это последнее правило фильтрации, я не могу telnet на IP-адрес за пределами моей сети. Я также пробовал dst/srcnat’ing только тех портов, которые нужны, но у меня все равно возникали проблемы с подключением с этих серверов к чему-либо за пределами моей сети.
Не подскажет ли кто, в каком направлении двигаться? Спасибо за любую помощь.
