Posted By: Tuttle (MamPoLetechJinyUsername!) on 'CZunix'
Title:     Re: nadstavba iptables
Date:      Wed Jun  8 11:04:08 2011

> > > mam hodne VS (sluzeb) a malo verejnych IP adres, takze provadim mapovani
> 
> > > ruznych portu nekolika IP na vice vnitrnich adres (ale ani zde to neni
> co
> > IP
> > > to port) v IPTABLES jedno jednoduche pravidlo s DNAT .. nicmene kdyz
> toho
> > je 
> > > uz jen trosicku vic, tak to zacina byt neprehledne.
> > 
> > Co je na vystupu prikazu
> > 
> >     iptables -nvL PREROUTING -t nat
> > 
> > neprehledne? Vzdyt je to co pravidlo, to jeden radek.
> 
> mozna jsem se nevyjadril uplne presne. Neprehledne neni samo to pravidlo v 
> iptables, ale neprehledne je to mapovani jako celek.
> 
> Abych nejak jednoduse videl ktere verejne IP (popr porty) uz mam obsazene.
> A soucasne abych videl z druhe strany jake porty na z ktereho vnitrniho IP 
> mam otevrene ven...
> 
> Pavel 

Moc nerozumim tomuto "jake porty na z ktereho vnitrniho IP mam otevrene ven". 
Protoze nepredpokladam, ze omezujes pristup virtualnich serveru ven, prekladam 
si tvoje slova jako "na jakych portech poslouchaji ktere virtualni servery".

Protoze iptables na hostiteli nema IMO ani prehled o prirazenych IP adresach 
na svych sitovych rozhranich, ani o nastaveni firewallu a demonu virtualnich 
serveru, bylo by treba nejak dodat informace o cele skupine dostupnych 
verejnych IP adres, skupine IP adres virtualnich serveru a sluzeb na nich. Pak 
bych si to oznacil symbolickymi nazvy a propojeni trivialnim textovym 
souborem typu <public IP>:<public port>:<private IP>:<private port> by nebylo 
slozite. Kratkym, treba pythonskym programem by z toho jednak sel generovat 
rozdil (pro prehled toho, co je volne) ci rovnou nastavit iptables.

Doporucuji v iptables vyuzit vlastni retezy pro bezpecne oddeleni placku, na 
kterem si manipulacni software muze hrat jakkoli s minimalizaci bezpecnostnich 
rizik hostitele a nulovym rizikem toho, ze si na dalku odriznes pod sebou 
vetev.

Mne se podobna vec nevyplati delat, moje skupina virtualnich serveru je 
relativne stabilni, navic mala a vetsinou bridgovana (samostatne verejne 
adresy).

T.

Search the boards