Firewall в Linux (Help)

[ivashev]

Помогите кто нибудь...
Есть сервер на SuSE Linux 9.2, от него Сервер RDBMS (Windows 2003) к нему необходимо подключиться из вне (Windows XP), то есть из другого города.
Вопрос: Как настроить фаервол, что бы пользователь мог спокойно подключиться к RDBMS (Windows 2003)?
В Linuxe плохо разбираюсь... Был бы очень признателен за какую нибудь пошаговую инструкцию...
Но может быть и не внем дело...
Спасибо...

[grumbler]

Цитата:

Сообщение от ivashev

Помогите кто нибудь...
Есть сервер на SuSE Linux 9.2, от него Сервер RDBMS (Windows 2003) к нему необходимо подключиться из вне (Windows XP), то есть из другого города.
Вопрос: Как настроить фаервол, что бы пользователь мог спокойно подключиться к RDBMS (Windows 2003)?
В Linuxe плохо разбираюсь... Был бы очень признателен за какую нибудь пошаговую инструкцию...
Но может быть и не внем дело...
Спасибо...

К сожалению не все мы -- экстрасенсы, чтобы додумывать, что ты этим хотел сказать...
Если я понял правильно:

• имеется некая локальная сеть;
• шлюзом для этой сети во внешний мир является машина с SuSE Linux на борту
• по всей видимости, на ней используется маскарадинг (работает система NAT [она же Network Address Translation]) ==> из внешнего мира внутренние машины не видны;
• требуется организовать доступ к конкретной локальной машине (Win2003) на конкретные порты из внешнего мира.

Если это так, то проблему вашу можно решить.
Но решать вам её будет непросто (если никогда не работал с iptables)!

Вот рецепт:

• зайти на www.opennet.ru
• в поле поиска ввести ключевые слова "руководство iptables" (должен найтись документ "Iptables Tutorial 1.1.9, автор Oskar Andreasson, в переводе Андрея Киселёва")
• попытаться понять, как работает пакетный фильтр в ОС Linux
• написать соответсвующие правила для iptables

Что же касается данной ситуации, то здесь нужно использовать действие DNAT в таблице nat iptables.
Должно получиться что-то наподобие

Код:

iptables -t nat -A PREROUTING -p tcp -d внешний_ip_адрес_шлюза --dport номер_порта_rdbms -j DNAT --to-destination локальный_ip_адрес_win2003

[ivashev]

Цитата:

Сообщение от grumbler

К сожалению не все мы -- экстрасенсы, чтобы додумывать, что ты этим хотел сказать...
Если я понял правильно:

• имеется некая локальная сеть;
• шлюзом для этой сети во внешний мир является машина с SuSE Linux на борту
• по всей видимости, на ней используется маскарадинг (работает система NAT [она же Network Address Translation]) ==> из внешнего мира внутренние машины не видны;
• требуется организовать доступ к конкретной локальной машине (Win2003) на конкретные порты из внешнего мира.

Если это так, то проблему вашу можно решить.
Но решать вам её будет непросто (если никогда не работал с iptables)!

Вот рецепт:

• зайти на www.opennet.ru
• в поле поиска ввести ключевые слова "руководство iptables" (должен найтись документ "Iptables Tutorial 1.1.9, автор Oskar Andreasson, в переводе Андрея Киселёва")
• попытаться понять, как работает пакетный фильтр в ОС Linux
• написать соответсвующие правила для iptables

Что же касается данной ситуации, то здесь нужно использовать действие DNAT в таблице nat iptables.
Должно получиться что-то наподобие

Код:

iptables -t nat -A PREROUTING -p tcp -d внешний_ip_адрес_шлюза --dport номер_порта_rdbms -j DNAT --to-destination локальный_ip_адрес_win2003

Очень признателен за совет... попробую изучить и настроить...
Спасибо...