Sieć 10.0.0.0/24 nie ma mieć dostępu do Internetu, tam są przypisywanie
IP dynamicznie na wypadek, gdyby jakiś nieznajomy komputer poprzez
WLAN'a się podłączył to dhcp przypisze mu ip z tej puli i nie będzie
miał dostępu do netu. Sieć 192.168.0.0/24 ma mieć dostęp do netu i tam
są przypisane na sztywno adresy komputerom. Chcę, żeby komputery z
dostępem do Internetu nie komunikowały się z tymi, które tego dostępu
nie mają. Wpisałem to, co mi napisałeś, ale nie działa. Nawet net nie
działa, musiałem dopisać jeszcze:

iptables -t filter -A FORWARD -d 192.168.0.0/24 -j ACCEPT

Jeżeli wyłączę forward to dalej jest to samo. Może problem tkwi gdzieś
tutaj?

iptables -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE
...
iptables -t nat -A POSTROUTING -s 192.160.0.12 -j MASQUERADE

Zrobiłem tak dla każdego adresu, ponieważ wtedy jest mi łatwiej
zablokować niepłacącym dostęp do sieci...

Pozdrawiam.

Dnia 5-12-2007 o godz. 18:19 Machoni napisał(a):
> > Nie zrozumieliśmy się.
> > Te dwie linijki odpowiadają za to, że sieć 192.168.0.0/24 komunikują
> się
> > ze wszystkimi sieciami, a ja chcę zabronić komunikowania się sieci
> > 192.168.0.0/24 z siecią 10.0.0.0/24 i na odwrót.
> >
> > iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j
> > ACCEPT
> > iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j
> > ACCEPT
> >
> > > Patrząc na Twoje dalsze regułki iptables można powiedzieć, że byłeś
> > > blisko. :)
> > >
> > > iptables -A FORWARD -s 192.168.0.0/24 -d ! 10.0.0.0/24 -j ACCEPT
> > > iptables -A FORWARD -s ! 10.0.0.0/24 -d 192.168.0.0/24 -j ACCEPT
> > >
>
> Misiaczq... obawiam sie ze to Ty nie zrozumiales tych regolek. One
> wlasnie dadza ten efekt, ktorego oczekujsz ;) (ale tutaj z punktu
> widzenia jedynie sieci 192... dla podsieci 10... nalezalo by dodac
> kolejne regolki, bo inaczej nie beda mialy kontaktu ze switem). Ps.
> druga jest jednak do pewnej optymalizacji ;)
> No chyba ze nie interesuje Cie wogole jakikolwiek forward, wowczas wywal
> regolki z forwardu wogole.
>
> Jesli mialbys wiecej podsieci niz 2, to oczywiscie bylo by to troche
> bardziej skomplikowane, ale nie znaczaco bardziej.
>
> np. na zasadzie
> iptables -A FORWARD -s 192.168.0.0/24 -d 10.0.0.0/24 -j DROP
> iptables -A FORWARD -s 10.0.0.0/24 -d 192.168.0.0/24 -j DROP
> iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT // tutaj -d 0/0 w
> domysle, nie trzeba tego smarowac
> iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
>
> W tej konfiguracji obie podsieci maja kontakt ze swiatem, ale nie maja
> ze soba, acha... oczywiscie liczy sie tu kolejnosc regolek w lancuchu !!
>
> I odpowiadajac na ktorys kolejny post... oczywiscie ze to jest
> mozliwe... przez dlugi czas mialem router z 5 podsieciami LAN + 2
> podsieci WAN... a wszystko na 1 sieciowce. W linux'ie da sie prawie
> wszystko.
>
>
> Tyla.
>
> Ps. Co tez slacklist sie obudzilo po tak dlugim czasie? czy tez tylko ja
> mialem jakas dziure w czasoprzestrzeni.

----------------------------------------------------
Płyta CD i kartka pocztowa "Pocztówka do Św.Mikołaja 2007" już
w sprzedaży. Kupując tę płytę pomagasz dzieciom
z domów dziecka. wwW.pocztowkadoswietegomikolaja.pl
http://klik.wp.pl/?adr=http%3A%2F%2Fcorto.www.wp.pl%2Fas%2Fpocztowka.html&sid=122
Received on Wed Dec 5 20:09:51 2007