[Comm] IPTABLES. Маскарадинг

Сб Ноя 1 15:28:42 MSK 2008

On Sat, Nov 01, 2008 at 01:32:04PM +0300, Kharitonov A. Dmitry wrote:
> Дегтярев Дмитрий Владимирович пишет:
> > Добрый день!
> >
> > Подскажите как правильно написать правила. Мне нужна подменять адреса 
> > во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x, 
> > и ещё некоторые белые.
> >
> > Например для подсети 172.16.0.0 это выглядит так:
> > iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j 
> > MASQUERADE
> >
> > А как сделать сразу отрицание для всех нужных подсетей?
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Бред полный...
Фильтрацию в таблице nat делать не рекомендуют, поэтому я бы
сделал так:

iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -j RETURN
iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/16 -j RETURN
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Здесь -I заменено на -A, т.к. -I это insert, а в данном случае
скорее нужен именно -A (append).

-- 
WBR, Alexey Novikov
XMPP: alex-novikov на jabber.ru, shader на ya.ru