Уважаемый олл!
Собственно, сабж. Например, gmail.com (pop.gmail.com:995, smtp.gmail.com:465)
Делать отдельную цепочку и прописывать туда IP-адреса хостов ручками задолбало. Хочется, чтобы все работало и без ручного вмешательства.
Открывать наружу 995 и 465 порт полностью не подходит по соображениям безопасности.
Итого, хотелось бы скрипт, который бы:
- автоматически брал имена хостов и нужные порты из списка в файле;
- разрешал (резолвил) их в IP-адрес(а);
- проверял наличие в rc.firewall правил для соответствующих адресов, если есть - не трогал бы их
- добавлял в rc.firewall правила для хостов / портов из списка. Ну, например, так.
Код:
$IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [первый IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT
...
$IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [крайний IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT
Собственно, сабж. Например, gmail.com (pop.gmail.com:995, smtp.gmail.com:465)
Делать отдельную цепочку и прописывать туда IP-адреса хостов ручками задолбало. Хочется, чтобы все работало и без ручного вмешательства.
Открывать наружу 995 и 465 порт полностью не подходит по соображениям безопасности.
Итого, хотелось бы скрипт, который бы:
- автоматически брал имена хостов и нужные порты из списка в файле;
- разрешал (резолвил) их в IP-адрес(а);
- проверял наличие в rc.firewall правил для соответствующих адресов, если есть - не трогал бы их
- добавлял в rc.firewall правила для хостов / портов из списка. Ну, например, так.
Код:
$IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [первый IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT
...
$IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [крайний IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT