Boris_Popov
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемый олл! Собственно, сабж. Например, gmail.com (pop.gmail.com:995, smtp.gmail.com:465) Делать отдельную цепочку и прописывать туда IP-адреса хостов ручками задолбало. Хочется, чтобы все работало и без ручного вмешательства. Открывать наружу 995 и 465 порт полностью не подходит по соображениям безопасности. Итого, хотелось бы скрипт, который бы: - автоматически брал имена хостов и нужные порты из списка в файле; - разрешал (резолвил) их в IP-адрес(а); - проверял наличие в rc.firewall правил для соответствующих адресов, если есть - не трогал бы их - добавлял в rc.firewall правила для хостов / портов из списка. Ну, например, так. Код: $IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [первый IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT ... $IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [крайний IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT | Потом его добавляем в cron.d, крутим каждые N минут и радуемся жизни Что-то похожее есть здесь. Если у кого-то есть готовое рабочее решение такого или другого вида — поделитесь. Не хочется изобретать велосипед. | Всего записей: 479 | Зарегистр. 27-09-2003 | Отправлено: 14:01 20-12-2011 | Исправлено: Boris_Popov, 14:58 20-12-2011 |
|