непонятки с iptables

0

0

Всем привет.
Вопрос по iptables, ввожу правила в цепочке nat POSTROUTING

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.2/255.255.255.255 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.3/255.255.255.255 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

тоесть даю выход через nat только двум клиентским ip (192.168.10.2 192.168.10.3) в интернет.

Но почему то 192.168.10.5 то же спокойно выходит в интернет, подскажите в чем проблема.

Ссылка

←	где брать патчи, указанные в *.ebuild

postfix

→

Зачем маску указывать, если вы хотите всего 2 IP?
Если указать без маски - должно работать:
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.2 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.3 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

P.S. почему такие траблы - непонятно. Кстати, желательно не забывать сбрасывать цепочку перенаправления перед тестированием. Могут оставаться старые правила:
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -F PREROUTING -t nat

progserega ★
(08.05.06 12:09:02 MSD)

Гораздо логичнее рулить доступом в интернет через filter FORWARD. Вот что пишет Oskar Andreasson про nat POSTROUTING для forwarded packets: "This chain should first and foremost be used for SNAT. Avoid doing filtering here, since certain packets might pass this chain without ever hitting it."

anonymous
(08.05.06 15:36:14 MSD)

Ссылка

Ответ на: комментарий от progserega 08.05.06 12:09:02 MSD

в цепочках -d ! 192.168.0.0/255.255.0.0 может встречаться только один раз .

используйте DROP по дефолту и разрешайте только тем кому хотите

anonymous
(09.05.06 10:32:09 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	где брать патчи, указанные в *.ebuild

Admin

postfix

→

Похожие темы