Filtragem Iptables e NAT com endereço IP secundário

0

Eu tenho dois endereços IP na minha interface eth física. Vamos dizer 192.168.10.7 (eth0: 0) e 192.168.0.7 (eth0). Então funciona. Mas eu uso o aplicativo, trabalhando no único desses endereços na porta 12000. Ele é configurado neste aplicativo internamente para funcionar no endereço 192.168.0.7. Eu configurei o aplicativo para trabalhar no endereço 192.168.10.7 também, usando o iptables, de tal forma:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -d 192.168.10.7 --dport 12000 -j DNAT --to 192.168.0.7:12000

Agora quero bloquear todo o tráfego de entrada para o endereço IP 192.168.10.7 (interface eth0: 0), exceto a porta 12000. Todo o tráfego restante deve permanecer inalterado. Eu não sou especialista em iptables. Alguém pode me ajudar?

    
por mackowiakp 03.12.2013 / 20:13

1 resposta

0

supondo que sua regra iptables funcione na mesma máquina com seu aplicativo, você precisa definir uma regra para aceitar o pacote de entrada e saída para o endereço e a porta do aplicativo, então simplesmente descarta tudo, parece assim:

iptables -A INPUT -p tcp -d 192.168.10.7 --dport 12000 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.10.7 --sport 12000 -j ACCEPT

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

    
por 04.12.2013 / 08:49