IPTABLES

Sekcia: Konfigurácia 13.02.2007 | 16:05
trolino   Návštevník
Dobry den,
mam jednu otazku, 
iptables -A POSTROUTING -t nat -s 10.0.0.40 -o eth0 -j MASQUERADE
tym som dosiahol aby mal na sieti len tento pocitac povoleny internet, mozem to robit takto alebo sa to robi nejako inak?
    • Re: IPTABLES 13.02.2007 | 17:01
      Avatar borg Fedora  Administrátor
      tym si dosial, ze dany stroj bude robit SNAT, teda viac strojov v lanke sa bude navonok javit ako jeden.
      • Re: IPTABLES 13.02.2007 | 17:59
        trolino   Návštevník
        no to je mi jasne, ale ide to urobit aj nejak inak?
        povedzme ze mam 3 PC a jeden linux router,
        tak co je lepsie pouzit?
        iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
        alebo
        iptables -A POSTROUTING -t nat -s PC1 -o eth0 -j MASQUERADE
        iptables -A POSTROUTING -t nat -s PC2 -o eth0 -j MASQUERADE
        iptables -A POSTROUTING -t nat -s PC2 -o eth0 -j MASQUERADE ?

        Alebo sa to celkovo robi nejako inac?
        Ked mam jednu IPcku a chcem internet na dalsich troch PC musim robit NAT, alebo nie?
        • Re: IPTABLES 13.02.2007 | 18:49
          --   Návštevník
          • Re: IPTABLES 13.02.2007 | 22:41
            trolino   Návštevník
            "Stavebným kameňom je jediné pravidlo pre netfilter (packet filter jadra Linux):
            iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE"

            - toto pravidlo hovori, vsetko co pojde cez eth0 a je to zo siete 192.168.0 a smeruje to hocikam, tak maskaraduj....

            iptables -t nat -A POSTROUTING -t nat -o eth0 -j MASQUERADE
            a toto je presne take iste pravidlo akurat nekontroluje z akej siete a kam, ale to som sa ani nepytal...
            takze poviem to takto, nie je nic zle na tom ked budem pouzivat MASQUERADE, namiesto toho aby som to SNAToval rucne(nemyslim doslovne :) ), ak ano tak ma tu z toho niekto velmo rychlo vivedie.
            Dakujem...
            • Re: IPTABLES 14.02.2007 | 01:17
              --   Návštevník
              na root.cz o tom je vysvetlene v seriali o firewalle (pozri si aj diskusiu pod clankami)
              myslim ze ak pouzijes masquerade a nie manualny snat tak ti to bude modifikovat zdrojovy port do oblasti nad 60000 ale inac by to malo byt to iste
    • Re: IPTABLES 13.02.2007 | 17:20
      zzy   Návštevník
      iptables -A FORWARD -i eth1 ! -m mac --mac-source 00:00:.... -j REJECT --reject-with icmp-net-prohibited
      (nie som si isty s "!")
      • Re: IPTABLES 14.02.2007 | 11:38
        Avatar fixinko Slackware,Gentoo,Solaris  Používateľ
        skor takto
        iptables -P FORWARD DROP
        iptables -A FORWARD -s 192.168.0.1 -m mac --mac-source 00:00... -j ACCEPT
        iptables -A FORWARD -d 192.168.0.1 -j ACCEPT
        

        tym dosiahnes to ze bude kontrolovat IP + mac ku nej...
        So let it be written, so let it be done....
        • Re: IPTABLES 14.02.2007 | 17:14
          trolino   Návštevník
          jo jo, jasne, takto to si to uz prerabam podla toho co som sa docital na root.cz(dik hore za odkaz), s tym ze tymto povolim len forward paketov z ...0.1 a na 0.1, takze este stale tam bude treba robit NATko, a rozhodol som sa ze ho budem robit teda ako MASQUERADE, a cez FORWARD mozem blokovat/povolovat porty ktore chcem... aspon myslim ze je to takto :) takze vdaka...