* [Comm] IPTABLES. Маскарадинг
@ 2008-11-01 7:23 Дегтярев Дмитрий Владимирович
2008-11-01 10:32 ` Kharitonov A. Dmitry
2008-11-01 10:38 ` Kharitonov A. Dmitry
0 siblings, 2 replies; 7+ messages in thread
From: Дегтярев Дмитрий Владимирович @ 2008-11-01 7:23 UTC (permalink / raw)
To: ALT Linux Community general discussions
Добрый день!
Подскажите как правильно написать правила. Мне нужна подменять адреса во
всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x, и
ещё некоторые белые.
Например для подсети 172.16.0.0 это выглядит так:
iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j
MASQUERADE
А как сделать сразу отрицание для всех нужных подсетей?
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES. Маскарадинг
2008-11-01 7:23 [Comm] IPTABLES. Маскарадинг Дегтярев Дмитрий Владимирович
@ 2008-11-01 10:32 ` Kharitonov A. Dmitry
2008-11-01 11:28 ` Дегтярев Дмитрий Владимирович
2008-11-01 12:28 ` Alexey Novikov
2008-11-01 10:38 ` Kharitonov A. Dmitry
1 sibling, 2 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 10:32 UTC (permalink / raw)
To: ALT Linux Community general discussions
Дегтярев Дмитрий Владимирович пишет:
> Добрый день!
>
> Подскажите как правильно написать правила. Мне нужна подменять адреса
> во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x,
> и ещё некоторые белые.
>
> Например для подсети 172.16.0.0 это выглядит так:
> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j
> MASQUERADE
>
> А как сделать сразу отрицание для всех нужных подсетей?
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES. Маскарадинг
2008-11-01 7:23 [Comm] IPTABLES. Маскарадинг Дегтярев Дмитрий Владимирович
2008-11-01 10:32 ` Kharitonov A. Dmitry
@ 2008-11-01 10:38 ` Kharitonov A. Dmitry
1 sibling, 0 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 10:38 UTC (permalink / raw)
To: ALT Linux Community general discussions
Дегтярев Дмитрий Владимирович пишет:
>
> А как сделать сразу отрицание для всех нужных подсетей?
Этот вопрос правильно задавать в Sysadmins@ здесь он является
оффтопиком, и вряд ли вы получили бы ответ, просто нужные вам люди на
эту рассылку скорее всего не подписаны.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES. Маскарадинг
2008-11-01 10:32 ` Kharitonov A. Dmitry
@ 2008-11-01 11:28 ` Дегтярев Дмитрий Владимирович
2008-11-01 12:02 ` Kharitonov A. Dmitry
2008-11-01 12:28 ` Alexey Novikov
1 sibling, 1 reply; 7+ messages in thread
From: Дегтярев Дмитрий Владимирович @ 2008-11-01 11:28 UTC (permalink / raw)
To: ALT Linux Community general discussions
Kharitonov A. Dmitry пишет:
> Дегтярев Дмитрий Владимирович пишет:
>> Добрый день!
>>
>> Подскажите как правильно написать правила. Мне нужна подменять адреса
>> во всех случаях кроме когда адрес получателя: 172.16.x.x,
>> 192.168.x.x, и ещё некоторые белые.
>>
>> Например для подсети 172.16.0.0 это выглядит так:
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat
>> -j MASQUERADE
>>
>> А как сделать сразу отрицание для всех нужных подсетей?
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>
точно... спасибо.
но только нужно вот так:
iptables -I POSTROUTING -s 192.168.0.0/24 -t nat -j MASQUERADE
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -t nat -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -t nat -j
ACCEPT
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES. Маскарадинг
2008-11-01 11:28 ` Дегтярев Дмитрий Владимирович
@ 2008-11-01 12:02 ` Kharitonov A. Dmitry
0 siblings, 0 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 12:02 UTC (permalink / raw)
To: ALT Linux Community general discussions
Дегтярев Дмитрий Владимирович пишет:
> Kharitonov A. Dmitry пишет:
>> Дегтярев Дмитрий Владимирович пишет:
>>> Добрый день!
>>>
>>> Подскажите как правильно написать правила. Мне нужна подменять
>>> адреса во всех случаях кроме когда адрес получателя: 172.16.x.x,
>>> 192.168.x.x, и ещё некоторые белые.
>>>
>>> Например для подсети 172.16.0.0 это выглядит так:
>>> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat
>>> -j MASQUERADE
>>>
>>> А как сделать сразу отрицание для всех нужных подсетей?
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>>
> точно... спасибо.
>
> но только нужно вот так:
> iptables -I POSTROUTING -s 192.168.0.0/24 -t nat -j MASQUERADE
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -t nat -j
> ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -t nat -j
> ACCEPT
А вот так оно точно работать не будет, тк все пакеты будут
обрабатываться первым правилом, а на остальные правила они не попадут.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES. Маскарадинг
2008-11-01 10:32 ` Kharitonov A. Dmitry
2008-11-01 11:28 ` Дегтярев Дмитрий Владимирович
@ 2008-11-01 12:28 ` Alexey Novikov
2008-11-01 12:38 ` Kharitonov A. Dmitry
1 sibling, 1 reply; 7+ messages in thread
From: Alexey Novikov @ 2008-11-01 12:28 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Sat, Nov 01, 2008 at 01:32:04PM +0300, Kharitonov A. Dmitry wrote:
> Дегтярев Дмитрий Владимирович пишет:
> > Добрый день!
> >
> > Подскажите как правильно написать правила. Мне нужна подменять адреса
> > во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x,
> > и ещё некоторые белые.
> >
> > Например для подсети 172.16.0.0 это выглядит так:
> > iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j
> > MASQUERADE
> >
> > А как сделать сразу отрицание для всех нужных подсетей?
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
Бред полный...
Фильтрацию в таблице nat делать не рекомендуют, поэтому я бы
сделал так:
iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -j RETURN
iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/16 -j RETURN
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
Здесь -I заменено на -A, т.к. -I это insert, а в данном случае
скорее нужен именно -A (append).
--
WBR, Alexey Novikov
XMPP: alex-novikov@jabber.ru, shader@ya.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES. Маскарадинг
2008-11-01 12:28 ` Alexey Novikov
@ 2008-11-01 12:38 ` Kharitonov A. Dmitry
0 siblings, 0 replies; 7+ messages in thread
From: Kharitonov A. Dmitry @ 2008-11-01 12:38 UTC (permalink / raw)
To: ALT Linux Community general discussions
Alexey Novikov пишет:
> On Sat, Nov 01, 2008 at 01:32:04PM +0300, Kharitonov A. Dmitry wrote:
>
>> Дегтярев Дмитрий Владимирович пишет:
>>
>>> Добрый день!
>>>
>>> Подскажите как правильно написать правила. Мне нужна подменять адреса
>>> во всех случаях кроме когда адрес получателя: 172.16.x.x, 192.168.x.x,
>>> и ещё некоторые белые.
>>>
>>> Например для подсети 172.16.0.0 это выглядит так:
>>> iptables -I POSTROUTING -s 192.168.0.0/24 -d ! 172.16.0.0/24 -t nat -j
>>> MASQUERADE
>>>
>>> А как сделать сразу отрицание для всех нужных подсетей?
>>>
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -d 172.168.0.0/24 -j ACCEPT
>> iptables -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>>
>
> Бред полный...
> Фильтрацию в таблице nat делать не рекомендуют, поэтому я бы
> сделал так:
>
> iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -j RETURN
> iptables -t nat -А POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/16 -j RETURN
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>
> Здесь -I заменено на -A, т.к. -I это insert, а в данном случае
> скорее нужен именно -A (append).
>
Да, вы правы, на I не обратил внимание...
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2008-11-01 12:38 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-11-01 7:23 [Comm] IPTABLES. Маскарадинг Дегтярев Дмитрий Владимирович
2008-11-01 10:32 ` Kharitonov A. Dmitry
2008-11-01 11:28 ` Дегтярев Дмитрий Владимирович
2008-11-01 12:02 ` Kharitonov A. Dmitry
2008-11-01 12:28 ` Alexey Novikov
2008-11-01 12:38 ` Kharitonov A. Dmitry
2008-11-01 10:38 ` Kharitonov A. Dmitry
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git