From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <shader@yandex.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.5 required=5.0 tests=AWL,BAYES_00,SPF_PASS
	autolearn=ham version=3.2.5
X-Yandex-Spam: 1 
X-Yandex-Front: smtp17
X-Yandex-TimeMark: 1225542522
X-BornDate: 976136400
X-Yandex-Karma: 0
X-Yandex-KarmaStatus: 0
X-MsgDayCount: 3
X-Comment: RFC 2476 MSA function at smtp17.yandex.ru logged sender identity
	as: shader
Date: Sat, 1 Nov 2008 15:28:42 +0300
From: Alexey Novikov <shader@yandex.ru>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Message-ID: <20081101122842.GA28219@localhost.localdomain>
References: <490C0407.8000208@nevod.ru> <490C3024.3020308@rambler.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <490C3024.3020308@rambler.ru>
Subject: Re: [Comm] =?koi8-r?b?SVBUQUJMRVMuIO3B08vB0sHEyc7H?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 01 Nov 2008 12:28:56 -0000
Archived-At: <http://lore.altlinux.org/community/20081101122842.GA28219@localhost.localdomain/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Sat, Nov 01, 2008 at 01:32:04PM +0300, Kharitonov A. Dmitry wrote:
> Дегтярев Дмитрий Владимирович пишет:
> > Добрый день!
> >
> > Подскажите как правильно написать правила. Мне нужна подменять адреса 
> > во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x, 
> > и ещё некоторые белые.
> >
> > Например для подсети 172.16.0.0 это выглядит так:
> > iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j 
> > MASQUERADE
> >
> > А как сделать сразу отрицание для всех нужных подсетей?
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Бред полный...
Фильтрацию в таблице nat делать не рекомендуют, поэтому я бы
сделал так:

iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -j RETURN
iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/16 -j RETURN
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Здесь -I заменено на -A, т.к. -I это insert, а в данном случае
скорее нужен именно -A (append).

-- 
WBR, Alexey Novikov
XMPP: alex-novikov@jabber.ru, shader@ya.ru