|
|
Пишет Русскоязычное Linux-сообщество (![[info]](http://lj.rossia.org/img/syndicated.gif){kind=small} lj_ru_linux)@ 2014-02-27 14:16:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Iptables port forwarding runtime
Приветствую, сообщники!
Требуется помощь коллективного разума в реализации одного решения с использованием iptables.
Имеется сервер с 2-мя интерфейсами - внешним и внутренним (eth0 и eth1), внешний смотрит в Интернет, внутренний - в локальную сеть.
Имеется сервис видеостриминга (как по TCP, так и по UDP) на железке во внутренней сети.
Требуется: динамически (на основании стороннего сервиса, но это не суть важно) включать/выключать проброс портов из внутренней сети наружу для некоторых внешних адресов. Адреса могут быть разными, но все - внешние.
Мне посоветовали использовать iptables, но меня терзают смутные сомнения - можно ли не просто добавлять (-A) правила в конец списка, но ещё и удалять их. Во всех описаниях организации подобного рекомендуют сменить правила по умолчанию на DROP и просто добавлять разрешённые адреса в список тех, для кого нужно осуществлять проброс. Но нигде нет примеров, как делать такое динамически - все примеры начинаются с полного обнуления всей таблицы правил и задания новых. А мне требуется, чтобы существующие "соединения" (взял в кавычки из-за наличия UDP) не сбрасывались. Т.е. мне надо что-то типа именованных правил с возможностью удаления правила по имени - при этом так, чтобы другие правила не никак от этого не страдали.
Кто что может посоветовать? Желательно со сылками :)
Приветствую, сообщники!
Требуется помощь коллективного разума в реализации одного решения с использованием iptables.
Имеется сервер с 2-мя интерфейсами - внешним и внутренним (eth0 и eth1), внешний смотрит в Интернет, внутренний - в локальную сеть.
Имеется сервис видеостриминга (как по TCP, так и по UDP) на железке во внутренней сети.
Требуется: динамически (на основании стороннего сервиса, но это не суть важно) включать/выключать проброс портов из внутренней сети наружу для некоторых внешних адресов. Адреса могут быть разными, но все - внешние.
Мне посоветовали использовать iptables, но меня терзают смутные сомнения - можно ли не просто добавлять (-A) правила в конец списка, но ещё и удалять их. Во всех описаниях организации подобного рекомендуют сменить правила по умолчанию на DROP и просто добавлять разрешённые адреса в список тех, для кого нужно осуществлять проброс. Но нигде нет примеров, как делать такое динамически - все примеры начинаются с полного обнуления всей таблицы правил и задания новых. А мне требуется, чтобы существующие "соединения" (взял в кавычки из-за наличия UDP) не сбрасывались. Т.е. мне надо что-то типа именованных правил с возможностью удаления правила по имени - при этом так, чтобы другие правила не никак от этого не страдали.
Кто что может посоветовать? Желательно со сылками :)
