Tomsk Sysadmins Forum

Unix => Администрирование => Topic started by: Kavka on February 04, 2007, 21:47:37

Title: REDIRECT на входе (NAT,маршрутизация)
Post by: Kavka on February 04, 2007, 21:47:37

Имеем - Линукс-бокс (с ядром 2.4.24) и iptables (кажется 1.2.9).
Админ  ходит туда по ssh с определённых адресов, IP известны (назовём "админские" адреса).
Есть желание сделать так, чтобы кода пытаются подключиться с "админского" адреса, то фаервол пропускал на sshd. А если с других адресов, то редиректил на соседнюю машину
Вроде как DNAT. Но что-то в PREROUTING опыта нет такое ставить и вообще iptables такое может?
Где смотреть? Можно ссылочку на howto или статью какую.

Title: REDIRECT на входе (NAT,маршрутизация)
Post by: sie on February 05, 2007, 00:35:30

1) man iptables

2) может так:
iptables -t nat --append PREROUTING --in-interface "ethX" --protocol tcp --source A1.A2.A3.A4 --destination S1.S2.S3.S4 --destination-port 22 --jump DNAT --to-destination S1.S2.S3.S4:22
iptables -t nat --append PREROUTING --in-interface "ethX" --protocol tcp --source B1.B2.B3.B4 --destination S1.S2.S3.S4 --destination-port 22 --jump DNAT --to-destination Y1.Y2.Y3.Y4:22

где ethX - внешний интерфейс,
      S1.S2.S3.S4 - IP-адрес сервера SSH,
      Y1.Y2.Y3.Y4 - IP-адрес альтернативного сервера SSH,
      A1.A2.A3.A4 - IP-адрес/подсеть администратора,
      B1.B2.B3.B4 - IP-адрес/подсеть неадминистратора.

Сам не пробовал. Будет интересно узнать, сработают ли такие настройки.

Title: REDIRECT на входе (NAT,маршрутизация)
Post by: Unit on February 05, 2007, 00:40:29

А может просто с другого порта повесить редирект?

Title: REDIRECT на входе (NAT,маршрутизация)
Post by: sie on February 05, 2007, 00:44:34

Quote from: Unit

А может просто с другого порта повесить редирект?

Да, так пожалуй проще.
Хотя, вдруг администратору кого-нибудь необходимо ввести в заблуждение

Title: REDIRECT на входе (NAT,маршрутизация)
Post by: Unit on February 05, 2007, 00:45:43

Для заблуждений раньше Honeypot применяли.