[Sysadmins] маскарадинг. Ограничения

Чт Янв 5 11:16:15 MSK 2006

On Wed, Jan 04, 2006 at 07:31:57PM +0300 Anton Gorlov wrote:
> Maxim Bodyansky пишет:
> 
> >>Проще говря..в правилах для маскарадинга нужно как-то отрезать 
> >>dst=локальным подсеткам.
> >Можно вовсе не трогать маскардинг, заперев врата в FORWARD'е.
> 
> Тоже вариант.. но при этом в инет им должно быть можно всё..а в 
> локальные подсетки не дальше роутера. Локальных подсеток больше 4...

Если не охота руками формировать правила, почему бы не поручить это
грязное дело роботу? Как, например, в приложеном скрипте.

-- 
WBR,
Maxim Bodyansky
----------- следующая часть -----------
#!/bin/sh

PRIVATE_NETWORK="10.0.5.0/24"
LOCAL_NETWORKS="
10.0.1.0/24
10.0.2.0/24
10.0.3.0/24
10.0.4.0/24
"

IPT="echo"

# В локальные сетки не дальше роутера
for lnet in $LOCAL_NETWORKS; do
    $IPT -A FORWARD -s $PRIVATE_NETWORK -d $lnet -j DROP
    $IPT -A FORWARD -d $PRIVATE_NETWORK -s $lnet -j DROP
done

# В остальные можно всё
$IPT -A FORWARD -s $PRIVATE_NETWORK -j ACCEPT
$IPT -A FORWARD -d $PRIVATE_NETWORK -j ACCEPT