| 1 |
Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote: |
| 2 |
|
| 3 |
> Hello Sergey, |
| 4 |
|
| 5 |
> Tuesday, April 28, 2009, 17:59:28, you wrote: |
| 6 |
>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 |
| 7 |
>>> -j DNAT --to-destination $INET_IP:22 |
| 8 |
>>> где INET_IP есть внешний адрес сервера |
| 9 |
|
| 10 |
>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле? |
| 11 |
|
| 12 |
> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт. |
| 13 |
> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP |
| 14 |
|
| 15 |
> В результате пройдут только пакеты идущие на порт 7722. |
| 16 |
|
| 17 |
А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22? |
| 18 |
Или это уже POSTROUTING? |
| 19 |
|
| 20 |
|
| 21 |
-- |
| 22 |
Sergey |
Archives