[zorp-hu] zorp + iptables

Barina Tamas tamas.barina@hlc.hu
Tue, 15 Oct 2002 12:14:44 +0200


Akkor szerinted ezt a láncot, tablat jol epitettem fel?
Tudok valami extra opciokat beletenni?

Balazs Scheidler írta:
> On Tue, Oct 15, 2002 at 11:15:14AM +0200, Barina Tamas wrote:
> 
>>Csinalgatom a tuzfalamat es egy erdekesseget talaltam.
>>Amikor ipchains-sel oldottam meg a redirectet, akkor az nmap eredmenyben 
>>nem latszott a zorp portja, mig iptablesnel igen.
>>Mit rontottam el?
>>Jelenleg ilyen a script:
>>
>>#  ssh - zorp
>>$IPTABLES -N DMZtoHOSTING_PLACE > /dev/null
>>$IPTABLES -A DMZtoHOSTING_PLACE -i $DMZ_IF -s $DMZNET -d $ALL -p tcp 
>>--dport 50022 -j ACCEPT
>>$IPTABLES -t nat -A PREROUTING -i $DMZ_IF -s $DMZNET -d $HOSTING_PLACE 
>>-p tcp --dport 22 -j REDIRECT --to-port 50022
>>$IPTABLES -A INPUT -j DMZtoHOSTING_PLACE
> 
> 
> az 50022-re gondolsz? szerintem ipchains-nel is kellett, hogy latszon, amugy
> pedig megoldhatod fwmark segitsegevel.
> 
> CONNMARK-kal megmarkolod NAT-kor, majd csak akkor ACCEPT-eled el az 50022-t,
> ha az adott mark megvan.
> 
> az egyenlore ki nem releaselt tproxy patchunkkel ez joval egyszerubbe valik.
> 
> a tproxy patch release pedig most mar rovidesen varhato.
> 

-- 

Regards/Tisztelettel:
Barina Tamás
+ 36 30 250 3863
-------------------------------------
1123 Budapest, Alkotás út 39/C
Tel.: +36 1 457 7690
Fax: +36 1 457 7699
PGP KeyID: 0xAC43C74F Fingerprint: 11AE 0464 7428 3DD8 470D  9A51 DD55 
AB3B AC43 C74F