[ SlackList ] [ WkikiSlack ] |
> ZewnÄtrzne mam staĹe, trochÄ mi zamotaĹeĹ sprawe w gĹowie. MoĹźesz mi
> podaÄ jakieĹ gotowe linijki, ktĂłre mam wpisaÄ, Ĺźeby osiÄ
gnÄ
Ä zamierzony
> efekt? WalczÄ z tym juĹź ktĂłryĹ dzieĹ i nie moge rozwiÄ
zaÄ tego problemu.
> W sumie to mogÄ zrezygnowaÄ z forwardu...
>
Do stalego ip generalnie wykozystuje sie SNAT/DNAT. MASQUERADE jest szczegolnym przypadkiem SNAT'a, wykozystywanym gdy zmienia sie ip w czasie. Mozna co prawda tez z niej kozystac, ale to malo eleganckie.
Skoro masz juz ta siec 10... to zablokuj jej forward
iptables -A FORWARD -s 10.0.0.0/24 -j DROP / -d 0/0 oraz -t filter sa domyslne
Przepusc forward od uprawnionej sieci
iptables -A FORWARD -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s ! 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
I ustawo odpowiednie linijki SNAT (albo te nieszczesne MASQUERADE) w tablicy nat.
Wazne by linijka 10... byla wczesniej (wyzej) niz ACCEPT dla sieci 192... (liczy sie nie tyle kolejnosc wpisania, bo jak dasz -I zamias -A to mozesz dowolnie wstawic regole, ile w jakiej kolejnosci sa po wydaniu polecenia 'iptables -L FORWARD').
Wiecej o firewallu poczytasz w "Zaawansowany routing howto', jest tez polskie tlumaczenie tego tekstu.
Tyla.
Received on Thu Dec 6 13:56:55 2007