Я пытаюсь настроить оборудование брандмауэра для защиты моего NAS.
То, чего я хочу достичь, лучше объясняется с помощью этого изображения ниже:
В то время как фактическая конфигурация iptables следующая:
*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 873 -j DNAT --to 192.168.1.2:873
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.1.2 -p tcp -m tcp --dport 873 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
Эта конфигурация до сих пор должна блокировать все порты с исключением 22, который принят и 873, который передан nas.
Чего мне не хватает, так это части VPN. Я хотел бы, чтобы весь трафик от ham0 переадресовывался непосредственно к nas, но также обрабатывал ответы (И ТОЛЬКО ОТЗЫВЫ) от nas обратно к ham0 без ошибок в интерфейсе ppp0.
Как я могу этого добиться? Какие правила я могу добавить?
Я думаю, что это должно быть что-то вроде:
-A PREROUTING -i ham0 -p tcp -m tcp --dport 22 -j DNAT --to 192.168.1.2:22
-A PREROUTING -i ham0 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.1.2:80
-A PREROUTING -i ham0 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.1.2:443
Но могу ли я добавить:
-A POSTROUTING -o ham0 -j MASQUERADE
тоже? Боюсь, что я что-то упустил, как я могу сказать iptables, что входящий трафик от eth1 ТОЛЬКО в случае ответа на вещи, полученные от ham0, изначально должен проходить через ham0 ..
Надеюсь, я был достаточно ясен :)