[Comm] IPTABLES. Маскарадинг

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] IPTABLES. Маскарадинг
@ 2008-11-01  7:23 Дегтярев Дмитрий Владимирович
  2008-11-01 10:32 ` Kharitonov A. Dmitry
  2008-11-01 10:38 ` Kharitonov A. Dmitry
  0 siblings, 2 replies; 7+ messages in thread
From: Дегтярев Дмитрий Владимирович @ 2008-11-01  7:23 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Добрый день!

Подскажите как правильно написать правила. Мне нужна подменять адреса во 
всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x, и 
ещё некоторые белые.

Например для подсети 172.16.0.0 это выглядит так:
iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j 
MASQUERADE

А как сделать сразу отрицание для всех нужных подсетей?

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] IPTABLES. Маскарадинг
  2008-11-01  7:23 [Comm] IPTABLES. Маскарадинг Дегтярев Дмитрий Владимирович
@ 2008-11-01 10:32 ` Kharitonov A. Dmitry
  2008-11-01 11:28   ` Дегтярев Дмитрий Владимирович
  2008-11-01 12:28   ` Alexey Novikov
  2008-11-01 10:38 ` Kharitonov A. Dmitry
  1 sibling, 2 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 10:32 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Дегтярев Дмитрий Владимирович пишет:
> Добрый день!
>
> Подскажите как правильно написать правила. Мне нужна подменять адреса 
> во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x, 
> и ещё некоторые белые.
>
> Например для подсети 172.16.0.0 это выглядит так:
> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j 
> MASQUERADE
>
> А как сделать сразу отрицание для всех нужных подсетей?
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE



^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] IPTABLES. Маскарадинг
  2008-11-01  7:23 [Comm] IPTABLES. Маскарадинг Дегтярев Дмитрий Владимирович
  2008-11-01 10:32 ` Kharitonov A. Dmitry
@ 2008-11-01 10:38 ` Kharitonov A. Dmitry
  1 sibling, 0 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 10:38 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Дегтярев Дмитрий Владимирович пишет:
>
> А как сделать сразу отрицание для всех нужных подсетей?
Этот вопрос правильно задавать в Sysadmins@ здесь он является 
оффтопиком, и вряд ли вы получили бы ответ, просто нужные вам люди на 
эту рассылку скорее всего не подписаны.



^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] IPTABLES. Маскарадинг
  2008-11-01 10:32 ` Kharitonov A. Dmitry
@ 2008-11-01 11:28   ` Дегтярев Дмитрий Владимирович
  2008-11-01 12:02     ` Kharitonov A. Dmitry
  2008-11-01 12:28   ` Alexey Novikov
  1 sibling, 1 reply; 7+ messages in thread
From: Дегтярев Дмитрий Владимирович @ 2008-11-01 11:28 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Kharitonov A. Dmitry пишет:
> Дегтярев Дмитрий Владимирович пишет:
>> Добрый день!
>>
>> Подскажите как правильно написать правила. Мне нужна подменять адреса 
>> во всех случаях кроме когда адрес получателя: 172.16.x.x, 
>> 192.168.x.x, и ещё некоторые белые.
>>
>> Например для подсети 172.16.0.0 это выглядит так:
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat 
>> -j MASQUERADE
>>
>> А как сделать сразу отрицание для всех нужных подсетей?
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>
точно... спасибо.

но только нужно вот так:
iptables -I POSTROUTING -s 192.168.0.0/24 -t nat -j MASQUERADE
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -t nat -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -t nat -j 
ACCEPT


^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] IPTABLES. Маскарадинг
  2008-11-01 11:28   ` Дегтярев Дмитрий Владимирович
@ 2008-11-01 12:02     ` Kharitonov A. Dmitry
  0 siblings, 0 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 12:02 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Дегтярев Дмитрий Владимирович пишет:
> Kharitonov A. Dmitry пишет:
>> Дегтярев Дмитрий Владимирович пишет:
>>> Добрый день!
>>>
>>> Подскажите как правильно написать правила. Мне нужна подменять 
>>> адреса во всех случаях кроме когда адрес получателя: 172.16.x.x, 
>>> 192.168.x.x, и ещё некоторые белые.
>>>
>>> Например для подсети 172.16.0.0 это выглядит так:
>>> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat 
>>> -j MASQUERADE
>>>
>>> А как сделать сразу отрицание для всех нужных подсетей?
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>>
> точно... спасибо.
>
> но только нужно вот так:
> iptables -I POSTROUTING -s 192.168.0.0/24 -t nat -j MASQUERADE
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -t nat -j 
> ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -t nat -j 
> ACCEPT
А вот так оно точно работать не будет, тк все пакеты будут 
обрабатываться первым правилом, а на остальные правила они не попадут.


^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] IPTABLES. Маскарадинг
  2008-11-01 10:32 ` Kharitonov A. Dmitry
  2008-11-01 11:28   ` Дегтярев Дмитрий Владимирович
@ 2008-11-01 12:28   ` Alexey Novikov
  2008-11-01 12:38     ` Kharitonov A. Dmitry
  1 sibling, 1 reply; 7+ messages in thread
From: Alexey Novikov @ 2008-11-01 12:28 UTC (permalink / raw)
  To: ALT Linux Community general discussions

On Sat, Nov 01, 2008 at 01:32:04PM +0300, Kharitonov A. Dmitry wrote:
> Дегтярев Дмитрий Владимирович пишет:
> > Добрый день!
> >
> > Подскажите как правильно написать правила. Мне нужна подменять адреса 
> > во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x, 
> > и ещё некоторые белые.
> >
> > Например для подсети 172.16.0.0 это выглядит так:
> > iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j 
> > MASQUERADE
> >
> > А как сделать сразу отрицание для всех нужных подсетей?
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Бред полный...
Фильтрацию в таблице nat делать не рекомендуют, поэтому я бы
сделал так:

iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -j RETURN
iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/16 -j RETURN
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Здесь -I заменено на -A, т.к. -I это insert, а в данном случае
скорее нужен именно -A (append).

-- 
WBR, Alexey Novikov
XMPP: alex-novikov@jabber.ru, shader@ya.ru


^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] IPTABLES. Маскарадинг
  2008-11-01 12:28   ` Alexey Novikov
@ 2008-11-01 12:38     ` Kharitonov A. Dmitry
  0 siblings, 0 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 12:38 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Alexey Novikov пишет:
> On Sat, Nov 01, 2008 at 01:32:04PM +0300, Kharitonov A. Dmitry wrote:
>   
>> Дегтярев Дмитрий Владимирович пишет:
>>     
>>> Добрый день!
>>>
>>> Подскажите как правильно написать правила. Мне нужна подменять адреса 
>>> во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x, 
>>> и ещё некоторые белые.
>>>
>>> Например для подсети 172.16.0.0 это выглядит так:
>>> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j 
>>> MASQUERADE
>>>
>>> А как сделать сразу отрицание для всех нужных подсетей?
>>>       
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>>     
>
> Бред полный...
> Фильтрацию в таблице nat делать не рекомендуют, поэтому я бы
> сделал так:
>
> iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -j RETURN
> iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/16 -j RETURN
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>
> Здесь -I заменено на -A, т.к. -I это insert, а в данном случае
> скорее нужен именно -A (append).
>   
Да, вы правы, на I не обратил внимание...



^ permalink raw reply	[flat|nested] 7+ messages in thread

end of thread, other threads:[~2008-11-01 12:38 UTC | newest]

Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-11-01  7:23 [Comm] IPTABLES. Маскарадинг Дегтярев Дмитрий Владимирович
2008-11-01 10:32 ` Kharitonov A. Dmitry
2008-11-01 11:28   ` Дегтярев Дмитрий Владимирович
2008-11-01 12:02     ` Kharitonov A. Dmitry
2008-11-01 12:28   ` Alexey Novikov
2008-11-01 12:38     ` Kharitonov A. Dmitry
2008-11-01 10:38 ` Kharitonov A. Dmitry

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git