Boris_Popov
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемый олл!
Собственно, сабж. Например, gmail.com (pop.gmail.com:995, smtp.gmail.com:465)
Делать отдельную цепочку и прописывать туда IP-адреса хостов ручками задолбало. Хочется, чтобы все работало и без ручного вмешательства.
Открывать наружу 995 и 465 порт полностью не подходит по соображениям безопасности.
Итого, хотелось бы скрипт, который бы:
- автоматически брал имена хостов и нужные порты из списка в файле;
- разрешал (резолвил) их в IP-адрес(а);
- проверял наличие в rc.firewall правил для соответствующих адресов, если есть - не трогал бы их
- добавлял в rc.firewall правила для хостов / портов из списка. Ну, например, так.
Код:
$IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [первый IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT
...
$IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [крайний IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT
|
Потом его добавляем в cron.d, крутим каждые N минут и радуемся жизни 
Что-то похожее есть здесь.
Если у кого-то есть готовое рабочее решение такого или другого вида — поделитесь. Не хочется изобретать велосипед.
|
Всего записей: 479 | Зарегистр. 27-09-2003 | Отправлено: 14:01 20-12-2011 | Исправлено: Boris_Popov, 14:58 20-12-2011 |
|
