1 |
Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote: |
2 |
|
3 |
> Hello Sergey, |
4 |
|
5 |
> Tuesday, April 28, 2009, 17:59:28, you wrote: |
6 |
>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 |
7 |
>>> -j DNAT --to-destination $INET_IP:22 |
8 |
>>> где INET_IP есть внешний адрес сервера |
9 |
|
10 |
>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле? |
11 |
|
12 |
> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт. |
13 |
> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP |
14 |
|
15 |
> В результате пройдут только пакеты идущие на порт 7722. |
16 |
|
17 |
А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22? |
18 |
Или это уже POSTROUTING? |
19 |
|
20 |
|
21 |
-- |
22 |
Sergey |