Re[2]: [Sysadmins] маскарадинг. Ограничения

[Dank Bagryantsev]

Здравствуйте, Anton.

Вы писали 4 января 2006 г., 18:30:31:

>>>Проще говря..в правилах для маскарадинга нужно как-то отрезать
>>>dst=локальным подсеткам.
>> А у Вас случаем не отдельный интерфейс в интернет торчит?

AG> Конечно отдельный.

>> Тогда можно
>> iptables -t nat -A POSTROUTING -o INET_IFACE -j MASQUERADE

AG> Так маскарадится ещё и кое-что в пределах локальных подсеток.

И чем это правило с этой точки зрения неправильно?

IMHO, достаточно внимательно прочитать Iptables Tutorial
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
и написать что-то типа:

$IPTABLES -t filter -A FORWARD -i $IF_LAN -o $IF_INET -j ACCEPT
$IPTABLES -t filter -A FORWARD -i $IF_INET -o $IF_LAN -j ACCEPT
$IPTABLES -t filter -A FORWARD -i $IF_LAN -j DROP

$IPTABLES -t filter -A INPUT -i $IF_LAN -j ACCEPT
$IPTABLES -t filter -A OUTPUT -o $IF_LAN -j ACCEPT

и как сказали выше
$IPTABLES -t nat -A POSTROUTING -o $IF_INET -j MASQUERADE
IMHO, это правило будет применятся для всех пакетов, маршрутизируемых на
$IF_INET, в том числе и из других подсетей.

-- 
С уважением,
 Dank