Как лучше организовать доступ к SQL серверу из интернета, но только с двух внешних IP адресов. Раньше было настроено через функцию "VirtulServers" с указанием одного определенного IP адреса в поле "Remote IP". Но теперь надо организовать доступ с двух разных IP. Если оставлять поле "Remote IP" пустым, то сразу начинают лесть кто попало - вырастает трафик, нагружается сервер. Модем DSL-2600U. Подскажите новичку.

А в чём проблема прописать 2 разных VS с двумя разными Remote IP, но только разными Public портами ?

Можно и поле оставить пустым, а настроить Inbound Filter для указанного внешнего порта и для нужных IP. Ведь VirtualServers с указанным полем RemoteIP и так создает те же самые правила файерволла.

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

В том-то и проблема что порт должен быть один. Софт который подключается к серверу работает только через один порт.

Вот подскажите как настроить фильтры. Ведь после того как я устанавливаю VS без заполнения поля RemoteIP, то весь трафик через этот порт уже разрешается, писать дополнительные разрешающие правила нет смысла. Может я чего еще не понимаю просто?

Если я настрою VS без заполнения поля RemoteIP, а потом создам Outbound Filter правила запрещающие отправлять ответ по этому порту кроме двух IP, то получиться?

Можно так.. а лучше вот так:
telnet modem_ip
login
password
sh

IP1: первый ip адрес откуда надо залезать
IP2: второй ip адрес откуда надо залезать
PORT: порт по которому стучимся
MODEMLAN: ip адрес локального интерфейса модема
SERVERIP: ip адрес сервера

iptables -t nat -A PREROUTING -s IP1 -p tcp --dport PORT -j DNAT --to-destination SERVERIP:PORT
iptables -t nat -A POSTROUTING -s IP1 -p tcp -d SERVERIP --dport PORT -j SNAT --to-source MODEMLAN

iptables -t nat -A PREROUTING -s IP2 -p tcp --dport PORT -j DNAT --to-destination SERVERIP:PORT
iptables -t nat -A POSTROUTING -s IP2 -p tcp -d SERVERIP --dport PORT -j SNAT --to-source MODEMLAN

Вот таким вот образом у вас будет проброс на порт sql сервера только с 2х адресов.

Alexander V. Спасибо сейчас буду пробовать.

да, но только если будут разрешен этот транзит в цепочке FORWARD , и никак иначе

А это как?

Дополнительно нужно добавить:


Пример: НО: Результаты подобных движений в CLI модема живут только до его выключения\перезагрузки.То есть подгружать правила все же удобнее с помощью скрипта(батника) и какого-нибудь тельнет клиента (TSE например)

Не помню что прописано в цепочке на данном модеме - если DROP то - да надо дописывать иначе пакеты тупо не пройдут по цепочке.

Если в форварде прописано -J ACCEPT, то достаточно того, что я указал выше.
Если в форварде DROP или REJECT то тогда надо делать проброс как вы и сказали.

п.с. для автоматической прописи можно использовать perl скрипт с net:telnet модулем по крону.