iptables & multiple mac address

0

1

iptables заворачивает весь http-трафик на проксю, надо некоторым устройствам дать простой нат, т.к. не умеют работать через проксю. Как в конструкции

! --mac-source

задать несколько mac'ов? При использовании такой конструкции (последяя строчка) правило работает только для последнего указанного mac-адреса:

$IPTABLES -A FORWARD -m mac --mac-source b8:ff:61:14:8e:81 -j ACCEPT
$IPTABLES -A FORWARD -m mac --mac-source 7c:6d:62:ae:90:5e -j ACCEPT
$IPTABLES -A FORWARD -m mac --mac-source 7c:c5:37:96:c7:56 -j ACCEPT
$IPTABLES -A FORWARD -m mac --mac-source 00:13:e8:c1:3b:b7 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -m mac ! --mac-source b8:ff:61:14:8e:81 ! --mac-source 7c:6d:62:ae:90:5e ! --mac-source 7c:c5:37:96:c7:56 ! -$

Если делать кучу PREROUTING, указывая по одному mac-адресу, естественно работает только первое правило.

Ссылка

←	запретить транзитный трафик

d-link dir-615 и dd-wrt

→

попробуйте через отдельную цепочку

- j chain

chain:

mac1 -return mac2 -return заварот

~~guilder~~ ★
(27.01.11 12:45:01 MSK)

Ответ на: комментарий от guilder 27.01.11 12:45:01 MSK

извиняюсь, не понял. можно подробней?

Fletch ★★
(27.01.11 12:48:45 MSK) автор топика

Ответ на: комментарий от Fletch 27.01.11 12:48:45 MSK

 
$IPTABLES -t nat -I PREROUTING -j chainname

iptables -N chainname

iptables -A chainname -m mac --mac-source 12:34:.... -j RETURN 
iptables -A chainname -m mac --mac-source 12:34:.... -j RETURN 
iptables -A chainname -m mac --mac-source 12:34:.... -j RETURN

iptables -A chainname (redirect to squid)

Я думаю смысл понятен

~~guilder~~ ★
(27.01.11 13:17:14 MSK)

Ответ на: комментарий от guilder 27.01.11 13:17:14 MSK

>-j chainname
что?

Fletch ★★
(27.01.11 14:31:21 MSK) автор топика

Ответ на: комментарий от Fletch 27.01.11 14:31:21 MSK

внимательно читаем http://ru.wikipedia.org/wiki/Iptables

~~guilder~~ ★
(27.01.11 14:49:08 MSK)

Ответ на: комментарий от guilder 27.01.11 14:49:08 MSK

Согласно той же википедии, проверка на принадлежность к цепочке идет после занесения всех в цепочку.

$IPTABLES -t nat -I PREROUTING -j apple
$IPTABLES -N apple
$IPTABLES -A apple -m mac --mac-source b8:ff:61:14:8e:81 -j RETURN
$IPTABLES -A apple -m mac --mac-source 7c:6d:62:ae:90:5e -j RETURN
$IPTABLES -A apple -m mac --mac-source 7c:c5:37:96:c7:56 -j RETURN
$IPTABLES -A apple -m mac --mac-source 00:13:e8:c1:3b:b7 -j RETURN
$IPTABLES -A apple -i $LAN_IF -p tcp -s 192.168.7.0/24 --dport 80 -j DNAT --to-destination 192.168.7.167:3128

Имеем:

iptables v1.4.7: Couldn't load target `apple':/usr/lib/iptables/libipt_apple.so: cannot open shared object file: No such file or directory

Fletch ★★
(27.01.11 15:12:59 MSK) автор топика

Ответ на: комментарий от Fletch 27.01.11 15:12:59 MSK

Сначала СОЗДАЙ цепочку (iptables -N) и только потом на нее ссылайся!

~~no-dashi~~ ★★★★★
(27.01.11 16:32:36 MSK)

Ответ на: комментарий от no-dashi 27.01.11 16:32:36 MSK

iptables: No chain/target/match by that name.

Может проще маркировать пакеты от источников с указанными маками и направлять их в обход прокси?

Fletch ★★
(27.01.11 17:29:26 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	запретить транзитный трафик

Admin

d-link dir-615 и dd-wrt

→

Похожие темы