LINUX.ORG.RU
ФорумAdmin

iptables


0

0

Хочу исключить несколько адресов из DANT вот так:
iptables -t nat -A PREROUTING -p tcp -s 192.168.108.0/24 -d ! 217.70.119.179 --dport 80 -j DNAT --to 192.168.0.10:3128
iptables -t nat -A PREROUTING -p tcp -s 192.168.108.0/24 -d ! 192.168.108.1 --dport 80 -j DNAT --to 192.168.0.10:3128
...
Неполучается... Как правильно будет?
anonymous

Re: iptables

iptables -t nat -I PREROUTING
                ^^^ Порядок правил ...

sdio ★★★★★ ()
Ответ на: Re: iptables от sdio

Re: iptables

Порядок правил здесь нипричём. Если даже -I поставить всёравно пакеты летят через 192.168.0.10.
Если пакет исключён из первой цепочки летит в следующую и если в ней не исключён тогда считается.

Попробывал сделать так (просто протестировать):
ptables -t nat -A proxy -p tcp --dport 80 -j DNAT --to 192.168.0.10:3128
iptables -t nat -A nproxy -o eth2 -j SNAT --to 192.168.100.10
iptables -t nat -A PREROUTING -p tcp -s 192.168.108.0/24 -d 217.70.119.179 --dport 80 -j nproxy
iptables -t nat -A PREROUTING -p tcp -s 192.168.108.0/24 -d 192.168.108.1 --dport 80 -j proxy

Выдаёт на 2 цепочке iptables: Unknown error 4294967295

anonymous ()

Re: iptables

А, тормознул.

Так можно:

iptables -t mangle -N notDNATmark
iptables -t mangle -A notDNATmark -m mark -s 192.168.108.0/24 --dport 80 -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -d 217.70.119.179 -j notDNATmark
iptables -t mangle -A PREROUTING -d 192.168.108.1  -j notDNATmark

iptables -t nat -A PREROUTING -p tcp -m mark -s 192.168.108.0/24 --mark ! 1 --dport 80 -j DNAT --to 192.168.0.10:3128

sdio ★★★★★ ()
Ответ на: Re: iptables от sdio

Re: iptables

На последней строчке:
iptables v1.3.5: Bad MARK value `!'

anonymous ()
Ответ на: Re: iptables от sdio

Re: iptables

iptables -t mangle -N notDNATmark
iptables -t mangle -A notDNATmark -s 192.168.108.0/24 --dport 80 -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -d 217.70.119.179 -j notDNATmark
iptables -t mangle -A PREROUTING -d 192.168.108.1  -j notDNATmark

iptables -t nat -A PREROUTING -p tcp -m mark -s 192.168.108.0/24 ! --mark  1 --dport 80 -j DNAT --to 192.168.0.10:3128

anonymous ()
Ответ на: Re: iptables от anonymous

Re: iptables

Теперь всё ок! Спасибо sdio!

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.