LINUX.ORG.RU
ФорумAdmin

Маршрутизация в локалки


0

0

Представьте структуру сети

+-------------------+                 +-------------------+
|    АSPlinux 9     |                 | концентратор      |
|   И-нет   шлюз    |eth0   100 mbps  | D-LINK            |
| eth0 192.168.10.6 |<===============>|  192.168.10.120   | 
| eth1 192.168.1.2  |    192.168.10.0 |                   |
+-------------------+                 +-------------------+
          eth1 /\                           /\
              /||\                         /||\
10 mbps        ||                           ||
192.168.1.0    ||                 100 mbps  ||
               ||              192.168.10.0 ||
               ||                           ||
              \||/                         \||/
               \/                           \/
+--------------------+                  +------------------+
|  ADSL модем        |                  |  Компьютер       |
|  подключен к Инету |                  |        SFX       |
|                    |                  | 192.168.10.1     |
| 192.168.1.1        |                  |                  |
+--------------------+                  +------------------+

Задача: Cделать так чтобы проходили запросы и ответы с компьютера SFX к модему и наоборот через 192.168.10.6

Каким образом можно заставить ASPLinux 9 пересылать запросы с определенных портов непосредственно на модем, а другие (тоже предопределенные порты) не пересылать...
Аналогично и с модемом, чтобы из внешней сети Интернет запросы не могли пройти дальше И-нет шлюза?

Примеры консольных команд ВЕСЬМА Желательны...

> пересылать запросы с определенных портов непосредственно на модем
Вы не могли бы уточнить, что значит пересылать ?
Т.е. вы хотите слать пакеты на 192.168.10.6:порт, и чтоб они попадали на 192.168.1.1:порт, или в пакетах адрес получателя уже сразу 192.168.1.1 и надо, чтоб 192.168.10.6 просто разрешил прохождение пакетов к модему ?

> чтобы из внешней сети Интернет запросы не могли пройти дальше И-нет шлюза?
А они туда и так не должны попадать. У вас ведь приватные адреса. Попасть они могут, я думаю, только в случае IP spoofing-а. А для этого можно добавить пару правил, например:
iptables -I FORWARD 1 -s 192.168.1.1 -i eth1 -j ACCEPT
iptables -I FORWARD 2 -s 192.168.0.0/16 -i eth1 -j DROP
iptables -I FORWARD 3 -s 127.0.0.0/8 -i eth1 -j DROP
И то же самое для INPUT.
P.S. Это всего лишь пример :-)

spirit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.