Не могу врубиться в философию маскарадинга в IPTABLES . Вот странная задача :
имеем
iptables -P FORWARD -ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d $IP -j MASQUERADE
где IP - те адреса на которые я разрешил полный доступ своим юзверям.
мне хорошо , это работает , проблем нет . Провайдеру плохо . Жалуеться . Так как при таком раскладе происходит одна неприятная шняга - эти левые ип адреса выбегают в сеть без маскарадинга если -d ип адрес не подпадает в $IP . У юзверей разумеется не прописаные в $IP ип адреса не откровыються .Но как результат - у прова внутри его большой локалки размером во всю страну рисуются наши левые ип адреса =) Что я делаю :
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d $IP -j MASQUERADE
и опа ... и всё , и NAT не работает
вопрос такой - как же замутить правильно НАТ левых ип адресов ?
если скажем для всех я пишу
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d $IP -j MASQUERADE
а для избранных добовляю
iptables -t nat -A POSTROUTING -s 192.168.0.IP -d 0/0 -j MASQUERADE
и при этом надо и прова уважить - не пускать левые ИП в его сеть , либо они натятся либо DROP .
Не могли бы сказать как правильно прописывать правило в FORWARD для IP адресов если я им делаю NAT ?
типа :
iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -s 0/0 -j ACCEPT
или достаточно только первое правило ?
а то чето не сработало ...
Ответ на:
комментарий
от Xela
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.