LINUX.ORG.RU

iptables, masquarade вопрос

 


0

1

на машине настроена приватная сеть с несколькими адресам (местно), это виртуалки в qemu.

Выпускаю в интернет виртуалку с IP 192.168.1.19: iptables -t nat -A POSTROUTING -s 192.168.1.19/24 -o eth0 -j SNAT --to-source <внешний ip сервера> тут все ок

Вопрос. Если работает машина с другим адресом 192.168.1.35 для которого подобное правило я не указывал, то ее трафик во вне (eth0) уходит с адреса 192.168.1.35.

Как запретить трафик уходящий с 192.168.1.xx через eth0

Скажу скажу что попробовал разные варианты с таблицами filter, mangle, nat. с разными цепочками типа FORWARD, OUTPUT, PRE\POST-ROUTING итд - везде потерпел неудачу (причины тут не буду расписывать - нет смысла).

То есть я в -t nat -A POSTROUTING подменяю SRC. дальше какие таблицы и цепочки проходит трафик? У меня нет схемы, если знаете хорошую схему - дайте ссылку.

Но основной вопрос как правильно поставить фильтр.

OS Centos 6.5 - ядро страдартное 2.6.32.

Заранее спасибо за ваш опыт.

Ответ на: комментарий от VoDD87

iptables -t nat -A POSTROUTING -s 192.168.1.19/24 -o eth0 -j SNAT --to-source <внешний ip сервера> тут все ок
Вопрос. Если работает машина с другим адресом 192.168.1.35 для которого подобное правило я не указывал

Указывали. В правиле маска /24 считай это 192.168.1.0/24, без разницы какую циферку поставите в четвертом октете.

Скажу скажу что попробовал разные варианты с таблицами filter, mangle, nat. с разными цепочками типа FORWARD, OUTPUT, PRE\POST-ROUTING итд

Дополню первый ответ, гуглим iptables tutorial, есть и на русском. iptables это не тот случай который стоит постигать методом перебора. Для вашего случая вы нашли

отвечаю на свой вопрос - filter FORWARD

но например завтра это будут не транзитный трафик, а локальный и опять пойдете перебором?

anc ★★★★★ ()