Порты, которые нельзя использовать для DNAT

Челябинская область

Автор:Dmitriy Altuhov

Порты, которые нельзя использовать для DNAT

Имеется интернет-шлюз на Linux. Настроена маршрутизация, SQUID и другие сетевые сервисы.

В локальной сети (интранет) имеются сервера, доступ к которым нужно обеспечить из сети Интернет.

Нужно пробросить порты с помощью DNAT. Но какие?

  1. Не пробрасывать порты 1-1024, а также другие, которые могут использоваться локальными сервисами (службами) интернет-шлюза (сервера ubuntu). Конечно, кроме случаев, когда именно эти сервисы (DNS, HTTPD) и нужно «пробросить» в интранет.
    Проверить используемые локальные порты можно так: sudo netstat -l -n -p
    А также проверить в конфигурационных файлах используемых сервисов «data range» порты. Например, в /etc/sane.d/saned.conf указано:
    data_portrange = 10000 — 10100
  2. Не использовать для DNAT порты из динамического списка портов, выделяемых ядром для временных соединений.
    Для Linux это порты 32768 — 61000
    http://en.wikipedia.org/wiki/Ephemeral_port
Comments Are Closed!!!