from many sources to many destinations in one rule

0

1

Знатоки iptables, подскажите, можно ли как-то красиво записать условие «от нескольких источников до нескольких адресатов»? Разумеется, если все источники и все адресаты не укладываются в одну подсеть. А потом - то же самое, но в противоположном направлении. Чтобы было понятнее - хочу переписать вот такую конструкцию из FreeBSD ipfw:

allow ip from table(10) to table(20)
allow ip from table(20) to table(10)

В iptables как-то сложновато получается. Вижу способ создать два chain-а, в одном маркировать пакеты, потом по условию наличия маркировки направить в другой, а там уже делать ACCEPT. При этом для обратного направления потребуется ещё два chain-а, потому как действия разные, хотя адреса и одинаковые. Понятно, что всё равно в скрипте, но как-то очень не красиво. Есть ли способ красивее решить задачу?

Ссылка

← vsftp права на запись анонимуса

Postfix + SPF →

сделай на ipset'е
вроде там можно, если ipset вида hash:net,net(или другой «двумерный») и потом в iptables ...--match-set setname src,dst...

ii343hbka ★★★
(06.07.14 23:40:50 MSK)
Последнее исправление: ii343hbka 06.07.14 23:42:15 MSK (всего исправлений: 1)

Ссылка

Плюсую ipset, оно как раз для того.

blind_oracle ★★★★★
(07.07.14 01:45:29 MSK)

Ссылка

ipset

selivan ★★★
(07.07.14 08:13:53 MSK)

Ссылка

Используя только iptables красиво, наверное, не получится...

Когда то начал для себя вот этот проект: flex-fw. Там реализована подобная схема через зоны.
В синтаксисе flex-fw это выглядит практически так-же, как в ipfw:

allow forward from zone1 to zone2
allow forward from zone2 to zone1

Содержимое zone1 и zone2 отдельно описывается, в отдельных файлах.

VitalkaDrug ★★
(07.07.14 16:44:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← vsftp права на запись анонимуса

Admin

Postfix + SPF →

Похожие темы