Author Topic: REDIRECT на входе (NAT,маршрутизация)  (Read 3427 times)

0 Members and 1 Guest are viewing this topic.

Offline Kavka

  • Jr. Member
  • **
  • Posts: 75
  • Karma: +0/-0
REDIRECT на входе (NAT,маршрутизация)
« on: February 04, 2007, 21:47:37 »
Имеем - Линукс-бокс (с ядром 2.4.24) и iptables (кажется 1.2.9).
Админ  ходит туда по ssh с определённых адресов, IP известны (назовём "админские" адреса).
Есть желание сделать так, чтобы кода пытаются подключиться с "админского" адреса, то фаервол пропускал на sshd. А если с других адресов, то редиректил на соседнюю машину
Вроде как DNAT. Но что-то в PREROUTING опыта нет такое ставить и вообще iptables такое может?
Где смотреть? Можно ссылочку на howto или статью какую.
Tomsk OpenSUSE Team

Offline sie

  • Full Member
  • ***
  • Posts: 108
  • Karma: +0/-0
REDIRECT на входе (NAT,маршрутизация)
« Reply #1 on: February 05, 2007, 00:35:30 »
1) man iptables

2) может так:
iptables -t nat --append PREROUTING --in-interface "ethX" --protocol tcp --source A1.A2.A3.A4 --destination S1.S2.S3.S4 --destination-port 22 --jump DNAT --to-destination S1.S2.S3.S4:22
iptables -t nat --append PREROUTING --in-interface "ethX" --protocol tcp --source B1.B2.B3.B4 --destination S1.S2.S3.S4 --destination-port 22 --jump DNAT --to-destination Y1.Y2.Y3.Y4:22

где ethX - внешний интерфейс,
      S1.S2.S3.S4 - IP-адрес сервера SSH,
      Y1.Y2.Y3.Y4 - IP-адрес альтернативного сервера SSH,
      A1.A2.A3.A4 - IP-адрес/подсеть администратора,
      B1.B2.B3.B4 - IP-адрес/подсеть неадминистратора.

Сам не пробовал. Будет интересно узнать, сработают ли такие настройки.
« Last Edit: February 05, 2007, 00:37:07 by sie »

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
REDIRECT на входе (NAT,маршрутизация)
« Reply #2 on: February 05, 2007, 00:40:29 »
А может просто с другого порта повесить редирект?

Offline sie

  • Full Member
  • ***
  • Posts: 108
  • Karma: +0/-0
REDIRECT на входе (NAT,маршрутизация)
« Reply #3 on: February 05, 2007, 00:44:34 »
Quote from: Unit
А может просто с другого порта повесить редирект?
Да, так пожалуй проще.
Хотя, вдруг администратору кого-нибудь необходимо ввести в заблуждение

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
REDIRECT на входе (NAT,маршрутизация)
« Reply #4 on: February 05, 2007, 00:45:43 »
Для заблуждений раньше Honeypot применяли.