[zorp-hu] zorp + iptables

Tue, 15 Oct 2002 12:06:54 +0200

On Tue, Oct 15, 2002 at 11:15:14AM +0200, Barina Tamas wrote:
> Csinalgatom a tuzfalamat es egy erdekesseget talaltam.
> Amikor ipchains-sel oldottam meg a redirectet, akkor az nmap eredmenyben 
> nem latszott a zorp portja, mig iptablesnel igen.
> Mit rontottam el?
> Jelenleg ilyen a script:
> 
> #  ssh - zorp
> $IPTABLES -N DMZtoHOSTING_PLACE > /dev/null
> $IPTABLES -A DMZtoHOSTING_PLACE -i $DMZ_IF -s $DMZNET -d $ALL -p tcp 
> --dport 50022 -j ACCEPT
> $IPTABLES -t nat -A PREROUTING -i $DMZ_IF -s $DMZNET -d $HOSTING_PLACE 
> -p tcp --dport 22 -j REDIRECT --to-port 50022
> $IPTABLES -A INPUT -j DMZtoHOSTING_PLACE

az 50022-re gondolsz? szerintem ipchains-nel is kellett, hogy latszon, amugy
pedig megoldhatod fwmark segitsegevel.

CONNMARK-kal megmarkolod NAT-kor, majd csak akkor ACCEPT-eled el az 50022-t,
ha az adott mark megvan.

az egyenlore ki nem releaselt tproxy patchunkkel ez joval egyszerubbe valik.

a tproxy patch release pedig most mar rovidesen varhato.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1