Re[2]: [Sysadmins] маскарадинг. Ограничения
Dank Bagryantsev
=?iso-8859-1?q?4alt_=CE=C1_mail=2Eru?=
Ср Янв 4 20:39:12 MSK 2006
Здравствуйте, Anton.
Вы писали 4 января 2006 г., 18:30:31:
>>>Проще говря..в правилах для маскарадинга нужно как-то отрезать
>>>dst=локальным подсеткам.
>> А у Вас случаем не отдельный интерфейс в интернет торчит?
AG> Конечно отдельный.
>> Тогда можно
>> iptables -t nat -A POSTROUTING -o INET_IFACE -j MASQUERADE
AG> Так маскарадится ещё и кое-что в пределах локальных подсеток.
И чем это правило с этой точки зрения неправильно?
IMHO, достаточно внимательно прочитать Iptables Tutorial
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
и написать что-то типа:
$IPTABLES -t filter -A FORWARD -i $IF_LAN -o $IF_INET -j ACCEPT
$IPTABLES -t filter -A FORWARD -i $IF_INET -o $IF_LAN -j ACCEPT
$IPTABLES -t filter -A FORWARD -i $IF_LAN -j DROP
$IPTABLES -t filter -A INPUT -i $IF_LAN -j ACCEPT
$IPTABLES -t filter -A OUTPUT -o $IF_LAN -j ACCEPT
и как сказали выше
$IPTABLES -t nat -A POSTROUTING -o $IF_INET -j MASQUERADE
IMHO, это правило будет применятся для всех пакетов, маршрутизируемых на
$IF_INET, в том числе и из других подсетей.
--
С уважением,
Dank
Подробная информация о списке рассылки Sysadmins