1 |
Hello Sergey, |
2 |
|
3 |
Tuesday, April 28, 2009, 18:21:45, you wrote: |
4 |
> Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote: |
5 |
|
6 |
>> Hello Sergey, |
7 |
|
8 |
>> Tuesday, April 28, 2009, 17:59:28, you wrote: |
9 |
>>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 |
10 |
>>>> -j DNAT --to-destination $INET_IP:22 |
11 |
>>>> где INET_IP есть внешний адрес сервера |
12 |
|
13 |
>>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле? |
14 |
|
15 |
>> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт. |
16 |
>> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP |
17 |
|
18 |
>> В результате пройдут только пакеты идущие на порт 7722. |
19 |
|
20 |
> А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22? |
21 |
> Или это уже POSTROUTING? |
22 |
|
23 |
В PREROUTING насколько помню сначала идёт mangle затем nat. Что есть |
24 |
"<public_ip>:22"? |
25 |
|
26 |
-- |
27 |
Konstantin Astafjev |