Podzial Lacz Po Raz Kolejny

[TheL]

Mam sobie taki skrypt jak nizej i mam w zwiazku z nim pytanie, jak przerobic go najlatwiej aby zamiast jednego interface zewnetrznego byly 3 ? i np podzielic te interface po portach zeby na jeden dac np port 80 na drugi port 22 na 3 port 21?

 

#!/bin/bash 

IPTABLE=/sbin/iptables 

# interfejsy sieciowe 
INET_IFACE=eth0 
LAN_IFACE=eth1 

# adresy na serwerze 
INET_ADR=10.1.1.2/255.255.255.255 
LAN_ADR=192.168.1.1/255.255.255.255 
LAN=192.168.1.0/255.255.255.0 
ADMIN_IP=192.168.1.20 

TCP_LAN=20,21,80,443,25,110 
UDP_LAN=53,123 
TCP_INET=20,21,25,80,443 

# konfiguracja jadra 
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter 
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects 
echo 1 > /proc/sys/net/ipv4/ip_forward 

/sbin/modprobe ip_conntrack 
/sbin/modprobe ip_conntrack_ftp 
/sbin/modprobe ip_nat_ftp 

# Wyczysc wszystkie reguly 
$IPTABLE -F 
$IPTABLE -X 
$IPTABLE -t nat -F 
$IPTABLE -t nat -X 

# Ustaw policy 
$IPTABLE -P INPUT DROP 
$IPTABLE -P FORWARD DROP 
# $IPTABLE -P OUTPUT DROP 
$IPTABLE -P OUTPUT ACCEPT 

# Przepusc wszystko na loopbacku 
$IPTABLE -A INPUT -i lo -j ACCEPT 

# Przepusc pakiety wracajace 
$IPTABLE -A INPUT -i $INET_IFACE -j ACCEPT -m state --state ESTABLISHED,RELATED 
$IPTABLE -A INPUT -i $LAN_IFACE -j ACCEPT -m state --state ESTABLISHED,RELATED 

# Przekazuj pakiety wracajace 
$IPTABLE -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT 

# Nie pozwalaj na przekazywanie sfalszowanych pakietow 
$IPTABLE -A FORWARD -i $INET_IFACE -s $LAN -j DROP 

# Pozwalaj na przekazywanie ruchu wychodzacego 
$IPTABLE -A FORWARD -i $LAN_IFACE -o $INET_IFACE -p TCP -m multiport --destination-port $TCP_INET -j ACCEPT 

# Maskuj ruch wychodzacy 
$IPTABLE -t nat -A POSTROUTING -o $INET_IFACE -d 0/0 -j SNAT --to-source $INET_ADR 

# Odpowiada/przyjmuje ping 
$IPTABLE -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 

# Pytanie o i d ent 
$IPTABLE -A INPUT -p tcp --dport 113 -j REJECT --reject -with icmp-port-unreachable 

# Wpuszczam ssh od admina 
$IPTABLE -A INPUT -i $LAN_IFACE -p tcp -s $ADMIN_IP --dport ssh -j ACCEPT 

# Dopuszczone z LAN’ u 
$IPTABLE -A INPUT -i $LAN_IFACE -p tcp -s $LAN -j ACCEPT -m multiport --destination-port $TCP_LAN 
$IPTABLE -A INPUT -i $LAN_IFACE -p udp -s $LAN -j ACCEPT -m multiport --destination-port $UDP_LAN 

#$IPTABLE -A INPUT -s $LAN -j LOG --log-prefix ’ [ z lanu ] ’ 

# Dopuszczone z Inetu 
$IPTABLE -A INPUT -i $INET_IFACE -p tcp -d $INET_ADR -j ACCEPT -m multiport --destination-port $TCP_INET 

#$IPTABLE -A INPUT -s !$LAN -j LOG --log-prefix ’[z inetu]’ 

 

pozatym czy widac tak na szybko jakies bledy w tym ?

 

[MonteChristo]

1 jednego zrobic 3 ?a masz 3 kable od prowaidera ? ;>

 

poza tym to czegos tu nie rozumie, pokazujesz przykaladowego FW, aprzeciez to sprawa routingu a nie FW, chyba ze na poczatku dopiszesz tego skryptu to co i gdzie ma byc routowane !

 

eth0 -> inet

eth1-> x

eth2-> y

eth3-> z

daj kazdej karcie rozne od 1 do 3 rozne IP.

i odpowiednio zarutuj.

 

man route ->dokladny opis z przykladami.

 

chyba ze cos zle zrozumialem z tego co napisales !