Mam sobie taki skrypt jak nizej i mam w zwiazku z nim pytanie, jak przerobic go najlatwiej aby zamiast jednego interface zewnetrznego byly 3 ? i np podzielic te interface po portach zeby na jeden dac np port 80 na drugi port 22 na 3 port 21?
#!/bin/bash
IPTABLE=/sbin/iptables
# interfejsy sieciowe
INET_IFACE=eth0
LAN_IFACE=eth1
# adresy na serwerze
INET_ADR=10.1.1.2/255.255.255.255
LAN_ADR=192.168.1.1/255.255.255.255
LAN=192.168.1.0/255.255.255.0
ADMIN_IP=192.168.1.20
TCP_LAN=20,21,80,443,25,110
UDP_LAN=53,123
TCP_INET=20,21,25,80,443
# konfiguracja jadra
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Wyczysc wszystkie reguly
$IPTABLE -F
$IPTABLE -X
$IPTABLE -t nat -F
$IPTABLE -t nat -X
# Ustaw policy
$IPTABLE -P INPUT DROP
$IPTABLE -P FORWARD DROP
# $IPTABLE -P OUTPUT DROP
$IPTABLE -P OUTPUT ACCEPT
# Przepusc wszystko na loopbacku
$IPTABLE -A INPUT -i lo -j ACCEPT
# Przepusc pakiety wracajace
$IPTABLE -A INPUT -i $INET_IFACE -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPTABLE -A INPUT -i $LAN_IFACE -j ACCEPT -m state --state ESTABLISHED,RELATED
# Przekazuj pakiety wracajace
$IPTABLE -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Nie pozwalaj na przekazywanie sfalszowanych pakietow
$IPTABLE -A FORWARD -i $INET_IFACE -s $LAN -j DROP
# Pozwalaj na przekazywanie ruchu wychodzacego
$IPTABLE -A FORWARD -i $LAN_IFACE -o $INET_IFACE -p TCP -m multiport --destination-port $TCP_INET -j ACCEPT
# Maskuj ruch wychodzacy
$IPTABLE -t nat -A POSTROUTING -o $INET_IFACE -d 0/0 -j SNAT --to-source $INET_ADR
# Odpowiada/przyjmuje ping
$IPTABLE -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Pytanie o i d ent
$IPTABLE -A INPUT -p tcp --dport 113 -j REJECT --reject -with icmp-port-unreachable
# Wpuszczam ssh od admina
$IPTABLE -A INPUT -i $LAN_IFACE -p tcp -s $ADMIN_IP --dport ssh -j ACCEPT
# Dopuszczone z LAN’ u
$IPTABLE -A INPUT -i $LAN_IFACE -p tcp -s $LAN -j ACCEPT -m multiport --destination-port $TCP_LAN
$IPTABLE -A INPUT -i $LAN_IFACE -p udp -s $LAN -j ACCEPT -m multiport --destination-port $UDP_LAN
#$IPTABLE -A INPUT -s $LAN -j LOG --log-prefix ’ [ z lanu ] ’
# Dopuszczone z Inetu
$IPTABLE -A INPUT -i $INET_IFACE -p tcp -d $INET_ADR -j ACCEPT -m multiport --destination-port $TCP_INET
#$IPTABLE -A INPUT -s !$LAN -j LOG --log-prefix ’[z inetu]’
pozatym czy widac tak na szybko jakies bledy w tym ?
_________________
www.komputer.cuprum.pl
Intel Core 2 DUO QUAD, DUAL DDR2 8GB, GF8800 1 GB, HDD SATAII 750 GB + 750 GB + 80GB + IDE HDD 40 GB, Linux Mandriva 2008 PP