On Tue, 22 Oct 2013, Laurentiu STEFAN wrote:
> Cam asta ar fi solutia?
>
> for s in ${GRUP2}
> do
> iptables -t nat -A PREROUTING -i eth1 -p tcp --match multiport
> --dports 80,21 -s ${s} -d
> ! ${RETEALOCALA} -j DNAT --to 192.168.0.254:8080
> iptables -t nat -A POSTROUTING -o ${INTERNET} -s ${s} --match multiport
> --dports 25,53,110,443 -j SNAT
> --to-source ${NAT}
> done
Complici regulile fara motiv. Si complici mailurile fara motiv
ingreunind evaluarile celor care vor sa-ti raspunda. Nu ne interesa pe noi
for-ul pus de tine sau toate acoladele inutile in acest caz de la
variabile, era suficienta o singura regula ca si exemplu.
iptables -t nat -I PREROUTING -i eth1 -d "$RETEALOCALA" -j ACCEPT && echo
WTF\?\!;
echo regula de mai sus e useless atita timp cit $RETEALOCALA nu e un subnet mai
mare din care sa existe alocate pe subretele subneturi mai \
mici, astfel incit pe eth1 sa se faca routing pentru trasnaile astea, nu doar
redirect \(enable redirects baaaa\!\!\! ca ma pui la munca aiurea\!\);
for whatever in $WHATEVER_GROUP; do
iptables -t nat -A PREROUTING -i eth1 -p tcp --match multiport --dports
21,80,443 -s $whatever -j DNAT --to-dest 192.168.0.254:8080;
iptables -t nat -A POSTROUTING -o eth0 -m multiport --dports 25,53,110
-s $whatever -j SNAT --to-source $NAT;
done && echo sanatate\! && echo asigura-te ca squidul e aware ca tre\' sa
serveasca toate porturile proxate transparent prin NAT\!;
Eu daca as fi routerul tau as incepe sa arunc cu chestii dupa tine
daca la fiecare regula in firewall m-ai pune sa fac 750 de verificari.
iptables -A SHIT -d ! nu stiu ce --sport ! nu stiu care... pai bai frate,
hotareste-te, vrei nat pentru sau vrei nat dar nu pentru si nu pentru! Pai
cind vei vrea sa faci NAT dar nu pentru 2 subneturi cum faci?!
> In alta ordine de idei,
> Daca in grupul 2 adaug:
> iptables -A FORWARD -p tcp -s ${s} --match multiport --dports 80,443,21 -m
> string --string '.exe' --algo bm -j DROP
> le va interzice descarcarea de fisiere .exe ?
Da si nu. via HTTPS esti mincat.
Via FTP/HTTP va merge regula aia, dar ar trebui s-o faci mai
elegant din proxy. E mai sanatos din toate punctele de vedere (si mai
eficient) sa le dai un mesaj de eroare decit sa le bagi browserul in ceata
si sa il faci sa astepte la infinit pachete care nu mai vin selectiv.
--
I'm a genuine network and sys admin.
I swear, I curse, I stick my dick into things in order to fix them.
So don't ack like you're having a bad day with me around,
'cause I'll have fix to you and will not be able to fight it!
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
