ipsec несколько тунелей и iptables

0

0

Доброе время суток!

1. Есть несколько vpn туннелей с разными подсетями (для примера 192.168.10/24, 172.16.0.0/24) на ipsec. 
2. За роутером есть клиенты которым нужен интернет.

Делаю:
iptables -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.10.0/24 -o eth0 -j SNAT --to-source EXT_IP

Вопрос, а как мне сделать несколько исключений из правила, т.е. если не один vpn туннель.
Что то в этом роде:
iptables -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.10.0/24,172.16.0.0/24 -o eth0 -j SNAT --to-source EXT_IP.

Всего хорошего, Федор

Ссылка

←	Debian и unstable репозитарии

Очередной вопрос о DDOS

→

эх, дядя Федор, не придумали еще аксес листов для iptables :)

тебе нужно до этого правила применять маркирование пакетов (на каждую внутренную сетку по правилу), а потом в зависимости от наличия той или иной маркировки натить или нет.

chocholl ★★
(20.04.08 17:06:59 MSD)

Ответ на: комментарий от chocholl 20.04.08 17:06:59 MSD

Кажется нашел решение:
iptables -A POSTROUTING -s 192.168.0.0/24 -d 192.168.10.0/24 -j ACCEPT
iptables -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source EXT_IP

anonymous
(20.04.08 17:23:35 MSD)

Ссылка

Создай табличку. Назови ее например INTERNET в ней набей правила со своими сетями с действием RETURN. А в превелах по умолчанию делай SNAT.

I3rain ★
(21.04.08 04:16:55 MSD)

Ссылка

Ответ на: комментарий от chocholl 20.04.08 17:06:59 MSD

>>тебе нужно до этого правила применять маркирование пакетов (на каждую внутренную сетку по правилу), а потом в зависимости от наличия той или иной маркировки натить или нет.

Сударь извращенец? Или плохо iptables знает?

I3rain ★
(21.04.08 04:17:58 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Debian и unstable репозитарии

Admin

Очередной вопрос о DDOS

→

Похожие темы