* [Comm] iptables, NAT
@ 2006-01-15 16:27 Jury Levykin
2006-01-15 16:52 ` Sergey Paradeyev
0 siblings, 1 reply; 5+ messages in thread
From: Jury Levykin @ 2006-01-15 16:27 UTC (permalink / raw)
To: ALT Linux Community
Шлюз в интернет (на основе ALM 2.4),
на нем настроен NAT следующим образом:
iptables -t nat -A POSTROUTING -s $INTRANET --out-interface
$EXTERNAL_INTERFACE \
-j SNAT --to-source $IPADDR
проблема в том, что если при старте скрипта я сначала все запрещаю:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
а потом открываю то, что нужно (например NAT) то пакеты из внутренней
сети ($INTRANET)
не проходят через шлюз.
если закомментировать:
# iptables -P FORWARD DROP
все работает, но меня смущает, что я видимо не прав поступая таким образом.
Как правильно открыть доступ для локальной сети?
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] iptables, NAT
2006-01-15 16:27 [Comm] iptables, NAT Jury Levykin
@ 2006-01-15 16:52 ` Sergey Paradeyev
2006-01-15 17:06 ` Jury Levykin
0 siblings, 1 reply; 5+ messages in thread
From: Sergey Paradeyev @ 2006-01-15 16:52 UTC (permalink / raw)
To: ALT Linux Community
Jury Levykin пишет:
> Шлюз в интернет (на основе ALM 2.4),
> на нем настроен NAT следующим образом:
> iptables -t nat -A POSTROUTING -s $INTRANET --out-interface
> $EXTERNAL_INTERFACE \
> -j SNAT --to-source $IPADDR
>
> проблема в том, что если при старте скрипта я сначала все запрещаю:
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> а потом открываю то, что нужно (например NAT) то пакеты из внутренней
> сети ($INTRANET)
> не проходят через шлюз.
>
> если закомментировать:
> # iptables -P FORWARD DROP
>
> все работает, но меня смущает, что я видимо не прав поступая таким
> образом.
>
> Как правильно открыть доступ для локальной сети?
Все правильно делаешь, только надо еще разрешить $INTRANET ходить сквозь
шлюз, через цепочку FORWARD
iptables -A FORWARD -s $ITRANET -j ACCEPT
iptables -A FORWARD -d $ITRANET -j ACCEPT
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] iptables, NAT
2006-01-15 16:52 ` Sergey Paradeyev
@ 2006-01-15 17:06 ` Jury Levykin
2006-01-15 17:15 ` Jury Levykin
0 siblings, 1 reply; 5+ messages in thread
From: Jury Levykin @ 2006-01-15 17:06 UTC (permalink / raw)
To: psv, ALT Linux Community
Sergey Paradeyev пишет:
> Все правильно делаешь, только надо еще разрешить $INTRANET ходить
> сквозь шлюз, через цепочку FORWARD
> iptables -A FORWARD -s $ITRANET -j ACCEPT
> iptables -A FORWARD -d $ITRANET -j ACCEPT
Говорит следующее на каждую команду:
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
если написать:
iptables -A FORWARD -i eth1 -s $ITRANET -j ACCEPT
то таже ошибка остается.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] iptables, NAT
2006-01-15 17:06 ` Jury Levykin
@ 2006-01-15 17:15 ` Jury Levykin
2006-01-16 4:30 ` Мерзляков Евгений Анатольевич
0 siblings, 1 reply; 5+ messages in thread
From: Jury Levykin @ 2006-01-15 17:15 UTC (permalink / raw)
To: ALT Linux Community
Jury Levykin пишет:
> Говорит следующее на каждую команду:
> Bad argument `ACCEPT'
> Try `iptables -h' or 'iptables --help' for more information.
>
> если написать:
> iptables -A FORWARD -i eth1 -s $ITRANET -j ACCEPT
> то таже ошибка остается.
Похоже что то не так было в строке: $ITRANET
скопировал ее из своего скрипта и все заработало, Спасибо :)
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] iptables, NAT
2006-01-15 17:15 ` Jury Levykin
@ 2006-01-16 4:30 ` Мерзляков Евгений Анатольевич
0 siblings, 0 replies; 5+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2006-01-16 4:30 UTC (permalink / raw)
To: ALT Linux Community
On Sun, 15 Jan 2006 20:15:27 +0300
Jury Levykin <jury@geodigital.ru> wrote:
> Jury Levykin пишет:
>
> > Говорит следующее на каждую команду:
> > Bad argument `ACCEPT'
> > Try `iptables -h' or 'iptables --help' for more information.
> >
> > если написать:
> > iptables -A FORWARD -i eth1 -s $ITRANET -j ACCEPT
> > то таже ошибка остается.
>
> Похоже что то не так было в строке: $ITRANET
> скопировал ее из своего скрипта и все заработало, Спасибо :)
дык в ней одной буковки нехватает :)
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2006-01-16 4:30 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-01-15 16:27 [Comm] iptables, NAT Jury Levykin
2006-01-15 16:52 ` Sergey Paradeyev
2006-01-15 17:06 ` Jury Levykin
2006-01-15 17:15 ` Jury Levykin
2006-01-16 4:30 ` Мерзляков Евгений Анатольевич
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git