Witam.

Mam problem z iptables. Mam komputer-router, który ma przypisane na
jednym interfejsie dwa adresy: 192.168.0.1 i 10.0.0.1. Sieć
192.168.0.0/24 ma dostęp do Internetu, 10.0.0.1/24 nie ma. Problem
polega na tym, że komputery z 10.0.0.0/24 nie mają się komunikować z
komputerami z 192.168.0.1/24. Te dwie linijki są powodem tego, że się te
sieci "widzą":

iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j
ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j
ACCEPT

Moje pytanie jest takie: Jak zmienić te linijki lub dopisać jakieś nowe,
żeby 192.168.0.0/24 nie miała dostępu do 10.0.0.0/24 i na odwrót.
Próbowałem metodą prób i błędów - na nic się to zdało.

Polecenia, których używam:

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j
ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j
ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.2 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.3 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.253 -d 0/0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 10.0.0.0/24 -d !
10.0.0.1 --dport 0:52 -j DNAT --to-destination 10.0.0.1:80
iptables -t nat -A PREROUTING -i eth1 -p udp -s 10.0.0.0/24 -d !
10.0.0.1 --dport 0:52 -j DNAT --to-destination 10.0.0.1:80
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 10.0.0.0/24 -d !
10.0.0.1 --dport 54:65535 -j DNAT --to-destination 10.0.0.1:80
iptables -t nat -A PREROUTING -i eth1 -p udp -s 10.0.0.0/24 -d !
10.0.0.1 --dport 54:65535 -j DNAT --to-destination 10.0.0.1:80

eth0 - ip zewnętrzne (internet)
eth1 - 192.168.0.1
eth1:1 - 10.0.0.1

Pozdrawiam.

----------------------------------------------------
RGG na Pokładzie! Wielokrotnie nagradzane trio
już 9.12.2007 w Gdyni!
http://klik.wp.pl/?adr=http%3A%2F%2Fcorto.www.wp.pl%2Fas%2Frgg.html&sid=125
Received on Tue Dec 4 21:02:20 2007