Chinaunix

标题: 不知道iptables是否可以实现这个需求？ [打印本页]

作者: wdrain 时间: 2009-09-14 16:11
标题: 不知道iptables是否可以实现这个需求？
在系统启用iptables防火墙，对只有信任的ip地址可以访问服务器上的应用，对不信任的ip地址的请求转发到另外的一台服务器上，不知道是否可以实现？

作者: weatheryyj 时间: 2009-09-14 16:24
提示: 作者被禁止或删除内容自动屏蔽

作者: vermouth 时间: 2009-09-14 18:02
-s ?

作者: emmoblin 时间: 2009-09-14 23:47
我想应该可以，这没有超出iptables的能力

作者: chenyx 时间: 2009-09-15 09:53
我觉得应该是route的问题,去http://lartc.org看看吧

作者: wdrain 时间: 2009-09-16 10:42
感谢各位的回复。
我目前的防火墙策略已经设置的大约200个信任的ip地址可以访问服务器上的应用，现在就是需要把非法访问的ip重定向到另外一台应用服务器。不知道iptables是否可以做？

作者: marsaber 时间: 2009-09-16 21:39
大约200个信任的ip地址可以访问服务器上的应用
这个很好实现，但是我想知道你这200个信任IP是什么关系，一个网段？还是零散的？
ipables规则太多，逐个的匹配，对访问多少有点影响。

至于第二个，也可以实现。
但是要启用数据包转发功能，网关上可以很好实现，单机上没有实践过。
http://linux.chinaunix.net/bbs/thread-1133688-1-1.html

作者: wdrain 时间: 2009-09-17 10:33
200个信任ip是零散的，目前已经实现。

现在主要是第二个怎么做？
使用 -t nat -A PREROUTING 这个链好像不行吧？因为进来的数据包会首先经过PREROUTING链，然后在进入INPUT链。

作者: chenyx 时间: 2009-09-17 10:40
标题: 回复 #8 wdrain 的帖子
在PREROUTING 链先把允许的ACCEPT,然后再写一条跳转的规则

作者: wdrain 时间: 2009-09-17 10:50
好的，谢谢各位。
我试下！

作者: platinum 时间: 2009-09-17 13:16

原帖由 wdrain 于 2009-9-17 10:33 发表
200个信任ip是零散的，目前已经实现。

现在主要是第二个怎么做？
使用 -t nat -A PREROUTING 这个链好像不行吧？因为进来的数据包会首先经过PREROUTING链，然后在进入INPUT链。

不要当貔貅，先把第一个问题的答案说出来，否则只吃不拉，没人愿意帮你

作者: wdrain 时间: 2009-09-23 17:05
200个信任的ip目前都是通过INPUT连实现的，一条一条添加比较简单。
如果要走PREROUTING链的话，要把这200条一条一条加进去，在最后再添加一条转发即可。

作者: wendaozhe 时间: 2009-09-24 16:45
用ipset吧！

作者: leaf1981 时间: 2009-09-25 14:35
如果用基于域名访问可以使用bind view来实现

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)