Привет, ребята!
Что-то не пойму, где собака зарыта с сабжем.
Исходные данные: есть сервер с интерфейсом (eth0) 1.2.3.4, смотрящим в
И-нет. На сервере еще есть интерфейс (eth1) 172.16.1.2, через который гуляют
в И-нет простые юзеры сетки 172.16.1.0. Хочется: разрешать ходить в И-нет
локальному юзеру 172.16.1.216 не только на основании его IP-адреса, но и на
основании mac адреса. Пытаюсь фильтровать пакеты прямо на входе:
#Отметаю всех претендентов погулять через сервер без особого на то
разрешения
iptables -t nat -P PREROUTING DROP
#Открывается входная дверь ресторана для клиента, если его IP=172.16.1.216 и
mac=00:01:02:03:04:05
iptables -t nat -A PREROUTING -s 172.16.1.216 -d ! 172.16.1.0/24 -i eth1 -j ACCEPT -m mac --mac-source 00:01:02:03:04:05
#После того, как клиент попал в ресторан, ему на меню подается Интернет
iptables -t nat -A ROSTROUTING -s 172.16.1.216 -d ! 172.16.1.0/24 -o eth0 -j SNAT --to-source 1.2.3.4
Все было бы хорошо, но при этом внешние узлы только ping-уются (проходят
icmp пакеты). Остальное (ftp, http, etc) недоступно. Даже на собственном
сервере. Изредка удается после минутного ожидания попасть на внешние
ftp-сервера. Но, будучи попав на внешний сервер, гуляешь по нему и качаешь
файлы резво, как со строчкой
iptables -t nat -P PREROUTING ACCERT
Вопрос: что за тормоза и как с ними бороться?
С уважением, Mike Kudritsky.