LINUX.ORG.RU
ФорумAdmin

непонятки с iptables


0

0

Всем привет.
Вопрос по iptables, ввожу правила в цепочке nat POSTROUTING

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.2/255.255.255.255 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.3/255.255.255.255 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

тоесть даю выход через nat только двум клиентским ip (192.168.10.2 192.168.10.3) в интернет.

Но почему то 192.168.10.5 то же спокойно выходит в интернет, подскажите в чем проблема.


Re: непонятки с iptables

Зачем маску указывать, если вы хотите всего 2 IP?
Если указать без маски - должно работать:
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.2 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.3 -d ! 192.168.0.0/255.255.0.0 -j SNAT --to-source aaa.bbb.ccc.ddd

P.S. почему такие траблы - непонятно. Кстати, желательно не забывать сбрасывать цепочку перенаправления перед тестированием. Могут оставаться старые правила:
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -F PREROUTING -t nat

progserega ()

Re: непонятки с iptables

Гораздо логичнее рулить доступом в интернет через filter FORWARD. Вот что пишет Oskar Andreasson про nat POSTROUTING для forwarded packets: "This chain should first and foremost be used for SNAT. Avoid doing filtering here, since certain packets might pass this chain without ever hitting it."

anonymous ()
Ответ на: Re: непонятки с iptables от progserega

Re: непонятки с iptables

в цепочках -d ! 192.168.0.0/255.255.0.0 может встречаться только один раз .

используйте DROP по дефолту и разрешайте только тем кому хотите

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.