मैं अपने nas की सुरक्षा के लिए फ़ायरवॉल हार्डवेयर कॉन्फ़िगर करने का प्रयास कर रहा हूं।
जो मैं प्राप्त करना चाहता हूं उसे नीचे इस छवि के साथ बेहतर तरीके से समझाया गया है:
जबकि वास्तविक iptables विन्यास निम्नलिखित है:
*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 873 -j DNAT --to 192.168.1.2:873
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.1.2 -p tcp -m tcp --dport 873 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
यह अब तक का विन्यास सभी बंदरगाहों को स्वीकृत किए गए 22 के एस्कॉलेशन के साथ ब्लॉक कर देना चाहिए और 873 जो कि एनएएस को भेज दिया गया है।
मुझे जो याद आ रहा है वह वीपीएन हिस्सा है। मुझे लगता है कि हम्प 0 से सभी ट्रैफिक को सीधे nas पर फॉरवर्ड किया जाएगा, लेकिन ppp0 इंटरफ़ेस में त्रुटि के लिए जा रहे बिना nas से हैम 0 पर वापस (और केवल रिप्ले) के उत्तरों को भी हैंडल करें।
मैं इसे कैसे प्राप्त कर सकता हूं? जो मैं जोड़ सकता हूँ नियम?
मुझे लगता है कि यह कुछ इस तरह होना चाहिए:
-A PREROUTING -i ham0 -p tcp -m tcp --dport 22 -j DNAT --to 192.168.1.2:22
-A PREROUTING -i ham0 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.1.2:80
-A PREROUTING -i ham0 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.1.2:443
लेकिन मैं एक जोड़ सकते हैं:
-A POSTROUTING -o ham0 -j MASQUERADE
भी? मुझे डर है कि मुझे कुछ याद आ रहा है, मैं कैसे iptables को बता सकता हूं कि ham1 से प्राप्त होने वाली चीजों के उत्तर के मामले में eth1 से आने वाला ट्रैफ़िक शुरू में ham0 से गुजरना होगा।
आशा है कि मैं स्पष्ट था :)