From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <4alt@mail.ru>
Date: Wed, 4 Jan 2006 19:39:12 +0200
From: Dank Bagryantsev <4alt@mail.ru>
X-Priority: 3 (Normal)
Message-ID: <1427662243.20060104193912@lugaport.net>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: =?koi8-r?Q?Re=5B2=5D=3A_=5BSysadmins=5D_=CD=C1=D3=CB=C1=D2=C1=C4=C9=CE=C7?=
	=?koi8-r?Q?=2E_=EF=C7=D2=C1=CE=C9=DE=C5=CE=C9=D1?=
In-Reply-To: <43BBF827.9000807@altlinux.ru>
References: <43BBA018.4050305@altlinux.ru>
	<59387b920601040242h20090c85gbe2cf91fd9635f20@mail.gmail.com>
	<43BBF827.9000807@altlinux.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: Dank Bagryantsev <4alt@mail.ru>,
	ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 04 Jan 2006 17:40:54 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/1427662243.20060104193912@lugaport.net/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Здравствуйте, Anton.

Вы писали 4 января 2006 г., 18:30:31:

>>>Проще говря..в правилах для маскарадинга нужно как-то отрезать
>>>dst=локальным подсеткам.
>> А у Вас случаем не отдельный интерфейс в интернет торчит?

AG> Конечно отдельный.

>> Тогда можно
>> iptables -t nat -A POSTROUTING -o INET_IFACE -j MASQUERADE

AG> Так маскарадится ещё и кое-что в пределах локальных подсеток.

И чем это правило с этой точки зрения неправильно?

IMHO, достаточно внимательно прочитать Iptables Tutorial
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
и написать что-то типа:

$IPTABLES -t filter -A FORWARD -i $IF_LAN -o $IF_INET -j ACCEPT
$IPTABLES -t filter -A FORWARD -i $IF_INET -o $IF_LAN -j ACCEPT
$IPTABLES -t filter -A FORWARD -i $IF_LAN -j DROP

$IPTABLES -t filter -A INPUT -i $IF_LAN -j ACCEPT
$IPTABLES -t filter -A OUTPUT -o $IF_LAN -j ACCEPT

и как сказали выше
$IPTABLES -t nat -A POSTROUTING -o $IF_INET -j MASQUERADE
IMHO, это правило будет применятся для всех пакетов, маршрутизируемых на
$IF_INET, в том числе и из других подсетей.

-- 
С уважением,
 Dank