با سلام
با آرزوي ساعاتي خوش و تبريک روز ميلاد حضرت محمد (ص).
من در شبکه اي که هستم مشکلي پيش اومده که از حل اون عاجز شدم و درخواست راهنمايي دارم.
وضعيت کلي شبکه به صورت زير هست:
يک روتر 2600 بدون هيچ پاليسي به صورت زير :
Building configuration...
Current configuration:
!
version 12.0
service config
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Level3_Route
!
enable secret 5 $1$ltHM9898yew8yrew9hkjhjkhk/LQ1fTrFW/
enable password 908790878978yhhhjkh89h9h9
!
ip subnet-zero
ip name-server 217.218.127.104
ip name-server 217.218.127.105
ip name-server 217.218.127.106
ip name-server 192.9.9.3
!
!
!
interface Ethernet0
ip address 81.173.59.1 255.255.255.128
no ip directed-broadcast
no cdp enable
!
interface Serial0
ip unnumbered Ethernet0
no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
snmp-server community TEMP4320Ops RO
!
line con 0
exec-timeout 0 0
transport input none
line vty 0 4
password 7 0100120549
login
!
-------------------------------------------------------
من يک سرور لينوکس دارم با سه کارت شبکه به صورت زير :
Os: FC 7.0
eth0: 172.16.1.1/255.255.252.0-->>dmz
eth1:81.173.59.65/255.255.255.192-->>like dmz
eth2:80.191.58.2/255.255.255.128->>red
echo 1 >/proc/sys/net/ipv4/ip_forward
اين سرور فقط nat ميکنه و قبل از اين سرور در داخل يک کش سرور با freebsd هم دارم
-----------------------------------------------------------------------------------------
کد:
iptables -A POSTROUTING -t nat -o eth2 -s 172.16.1.0/24 -j SNAT --to 81.173.59.2
iptables -A POSTROUTING -t nat -o eth2 -s 172.16.2.0/24 -j SNAT --to 81.173.59.2
iptables -A PREROUTING -t nat -p tcp -s 172.16.1.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A PREROUTING -t nat -p tcp -s 172.16.2.0/24 --dport 80 -j REDIRECT --to-port 3128
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -A FORWARD -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 1433 -j ACCEPT
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth2 -p tcp --dport 3128 -j DROP
iptables -A INPUT -i eth0 -p tcp -s 172.16.1.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 172.16.2.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 81.173.59.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 172.16.1.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 172.16.2.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 81.173.59.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 6000:6009 -j DROP
iptables -A OUTPUT -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT 1 -i eth2 -p tcp --dport 0:1056 -j DROP
iptables -I INPUT 1 -i eth2 -p udp --dport 0:1056 -j DROP
iptables -I INPUT 1 -i eth2 -p tcp --dport 1720 -j DROP
iptables -I INPUT 1 -i eth2 -p tcp --dport 5000 -j DROP
-------------------------------------------------------------------------------------
لازم به ذکر هست که تمامي اين اکينفيگها با کمک و راهنمايي آقاي پيمان به اينجا رسيده که من کلا سرورهاي ويندوز رو از مدار خارج کردم.( پيمان خيلي ممنون : بهت خيلي بدهکارم ولي جبران ميکنم)
---------------------------------------------------------------------------------------------------
مشکل : کسي از بيرون نميتونه آي پي هاي وليد رو ببينه - مثلا 81.173.59.124 وحتي اين آي پي ها نمي تونن که به بيرون وصل بشن !!!!!!!!!!! و از بیرون هم کسی نمیتونه مثلا به همین آی پی ولید که وب سرور هست وصل بشه و وقتی از بیرون tracert میکنی از روتر عبور نمیکنه !!!!!!!!!!!!!!!1
------------------------------------------------------------------------------------------------
ببخشید نمیشد به صورت پراکنده و در جاهای مختلف سایت سوال کنم .
موضوعات مشابه:
LinkBack URL
About LinkBacks
