Portál AbcLinuxu, 18. dubna 2024 17:04


Dotaz: negace masquerade

21.7.2005 08:45 bob77
negace masquerade
Přečteno: 131×
Odpovědět | Admin
Zdravim Potřeboval by jsem poradit s drobnosti mám na vnitřní síťové kartě několik neveřejných virtualnich siti u kterych se provádi maškarada plus jednu síť s veřejnýma IP. Jak zapsat aby se mi prováděla maškaráda u všech sítí s vyjímkou těch veřejných. v současnosti to píšu takto:

-A POSTROUTING -s 192.168.1.1/24 -o eth1 -j MASQUERADE -A POSTROUTING -s 192.168.2.1/24 -o eth1 -j MASQUERADE ..atd celkem 20 sítí.

chtěl bych to nějak takhle: -A POSTROUTING -s eth0 -o eth1 -j MASQUERADE !-A POSTROUTING -s veřejná ip -o eth1 -j MASQUERADE no a právě s tou negací si nejsem jistej jak se píše poradí někdo.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

21.7.2005 09:28 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: negace masquerade
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jestli ty veřejné sítě nejsou adresovány nějak nahodile, tak by mělo stačit najít nějaký rozumně malý rozsah, který je obsahuje všechny. Třeba 
  iptables -A POSTROUTING -s 192.168.0.0/20 -o $EXTIF -j MASQUERADE
K tomu řešení bych se přikláněl, příliš univerzální pravidlo je časovaná bomba, protože na něj snadno zapomenete a později budete překládat věci, u kterých o to vůbec nestojíte. Pokud byste na tom mermomocí trval, pak pro jednu adresu 
  iptables -A POSTROUTING -s ! $DMZIP -o $EXTIF -j MASQUERADE
pro více 
  iptables -A POSTROUTING -s $DMZIP1 -j RETURN
  ...
  iptables -A POSTROUTING -s $DMZIP9 -j RETURN
  iptables -A POSTROUTING -o $EXTIF -j MASQUERADE
21.7.2005 09:33 bob77
Rozbalit Rozbalit vše Re: negace masquerade
Děkuji jdu to zkusit.
21.7.2005 09:49 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: negace masquerade
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zdravim

Zapomel jsi na "-t nat", ja bych to udelal takhle, jen mala modifikace vyse uvedeneho.

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE

Pravidlo plati jen pro pakety se zdrojovou IP v rozsahu 192.168.0.0/16, zbytek proklouzne bez povsimnuti.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.