LINUX.ORG.RU
ФорумAdmin

Помогите с IPTABLES, горю!!!


0

0

Пожалуйста, покажите мне пример правила для роутера, которое пускает пакеты с компа 192.168.1.10 через ppp0, а с 192.168.1.12 через ppp1. Не спец в iptables, сейчас ковыряю mangle, пока ничего не получается, а сделать нужно уже :(. И какой default route при этом указывать?..

anonymous

Что то я не догоняю что те нужно. Если у компа ip 192.168.1.10 то при подключении ему выдастся другой адрес. можно просто вделить подсеть и выдвать ее через ppp подключение. А правило будет если диапазон 10.0.0.0/24 таким:

-A POSTROUTING -i ppp -s 10.0.0.0/24 -j MASQUERADE

Так же тебе надо включить маршрутизацию. Если у тя статика(адрес в инет) то моно использовать действие SNAT.

А ваще раскажи поподробней как подключаешся к инету.

Spank
()

iptables -t nat -A POSTROUTING -s 192.168.1.10 -j SNAT --to-source ppp0_ip

iptables -t nat -A POSTROUTING -s 192.168.1.12 -j SNAT --to-source ppp1_ip

?

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Anoxemian, спасибо, завтра с утречка попробую.

Spank, ситуация в следующем: есть роутер с одним внутренним и двумя внешними интерфейсами (ADSL-модемы к разным провайдерам), внутри подсеть 192.168.1.0, из которой две машины нужно пустить по интерфейсу ppp1, остальные по ppp0. Пустить всех по ppp0 не проблема, все уже успешно работают. Пробовал две нужные машины "отделять" следующим образом:

iptables -t nat -A POSTROUTING -s 192.168.1.12 -p tcp -j SNAT --to $ppp1_ip

ничего не дало. Теперь вижу что надо было не --to, а --to-source.

Делается все это удаленно через ssh, по очень медленному каналу, поэтому особо не поэкспериментируешь :(

anonymous
()
Ответ на: комментарий от anonymous

А у тя при подключении по adsl думаеш всегда будет соответствовать ip и номер ppp? Может те лучше не указывать интерфейс а делать только по ip?

Spank
()
Ответ на: комментарий от Spank

imho одного iptables мало настроить, все равно все машины локалки будут ломиться на шлюз по умолчанию - необходимо настроить source routing. Спецы, я прав?

anonymous
()
Ответ на: комментарий от Spank

> Может те лучше не указывать интерфейс а делать только по ip?

Можно, конечно, это не проблема - на обоих модемах айпишники статические.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.