Надо по хитрому настроить iptables......

0

0

Надо что б компы из локалки могли ходить через интерфейс eth1:1 с адресом 192.168.7.90 только на один адрес, к примеру такой 123.456.7.8 А на остальные адреса доступ через eth1:1 был закрыт.

Вот что я намастерил:

Правил iptables :

iptables -A FORWARD -p ALL -s 192.168.7.90 -d ! 123.456.7.8 -j DROP

iptables -A OUTPUT -p ALL -s 192.168.7.90 -d ! 123.456.7.8 -j DROP

iptables -A INPUT -p ALL -s 192.168.7.90 -d ! 123.456.7.8 -j DROP

Юзеры все равно ходят через 192.168.7.90 на любые адреса..... Почему?

Ссылка

←	выделенка, dsl модем и ip адреса

Альтернатива iproute2

→

Так зачем ты в качестве источника (-s) ставишь ip-адрес интерфейса? ip-адреса клиентов (адрес сети) надо подставлять.

caesar ★
(04.03.04 22:00:41 MSK)

Ответ на: комментарий от caesar 04.03.04 22:00:41 MSK

Ага! Точно! Надо прописать адреса клиентов! Понял! Спасибо! 8)

ЗЫЖ а может быть еще какие причины есть, а?

INDIGO ★
(05.03.04 00:55:56 MSK) автор топика

Ссылка

Ответ на: комментарий от caesar 04.03.04 22:00:41 MSK

Да, еще, забыл сказать... Есть еще одно необходимое условие....

Есть еще интерфейс eth1 с адресом 192.168.7.101 Так вот с этого адреса доступ в инет должен быть полный, без каки-либо ограничений. А если я сделаю так:

iptables -A FORWARD -p ALL -s 192.168.7.0/24 -d ! 123.456.7.8 -j DROP

iptables -A OUTPUT -p ALL -s 192.168.7.0/24 -d ! 123.456.7.8 -j DROP

iptables -A INPUT -p ALL -s 192.168.7.0/24 -d ! 123.456.7.8 -j DROP

То не закрую ли я тем самым доступ в инте (кроме адреса 123.456.7.8) через eth1 для всей сетки ?

ЗЫЖ оба интерфейса - это одна сетевая карта. eth1:1 является копией eth1

INDIGO ★
(05.03.04 01:05:11 MSK) автор топика

Ссылка

По моему, ты сам не знаешь чего хочешь. Что значит ходят? У тебя маскарад или прокси? Может быть тебе с маршрутизацией начать разбираться?

ansky ★★★★★
(05.03.04 03:58:23 MSK)

Ответ на: комментарий от ansky 05.03.04 03:58:23 MSK

Нет, я знаю чего хочу, но просто не правильно выразил свои желания. 8) Опишу ситуацию:

Комп.клуб. Есть комп с RH9, через этот комп весь клуб ходит в инет. IP адрес один на всех. На этом компе 2 сетевухи, eth0 - смотрит в инет, eth1 в локалку. Весь трафик что идет с eth1 для юзеров платный. Еще есть городская сеть. eth0 к ней подключена. Трафик в этой сети бесплатный. Вот я и хочу подключить всех юзеров к этой сети. Создать на шлюзе виртуальный интерфес в клубную сетку (eth1:1 192.168.7.90), файрволом закрыть наружу через внешний интерфейс всем пакетам прошедшим через виртуальный кроме этого адреса 123.456.7.8

А вот как это сделать, вот сижу уже неделю.....

INDIGO ★
(05.03.04 11:41:51 MSK) автор топика

Ответ на: комментарий от INDIGO 05.03.04 11:41:51 MSK

Народ! Подкинте идей, как сделать то что я задумал?

У меня есть соображения поставить iproute2 пакет, но это надо ядро пересобирать, а к этому не совсем готов - маленький еще опыт у меня... 8)

INDIGO ★
(06.03.04 10:31:10 MSK) автор топика

Ответ на: комментарий от INDIGO 06.03.04 10:31:10 MSK

а чего хитрого ???
сперва дропаешь весь выход в нет
потпо  нужному  IP  указываешь что он  может...  другому  IP  что  он  может все...  никаких проблем  не вижу...

Koran ★
(11.03.04 08:41:51 MSK)

Ответ на: комментарий от Koran 11.03.04 08:41:51 MSK

Да смысл, что надо сделать, я представляю себе, а вот как выразить... Вот тут проблема..... Посмотри выше, где я описал ситуацию... У меня же 2-е сетевухи, 2 IP. Нужен 3-й IP. Если будет 3-й IP. то будет все просто. но это надо ядро пересобирать.... А хочется без пересобирания ядра...8)

INDIGO ★
(12.03.04 18:09:48 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	выделенка, dsl модем и ip адреса

Admin

Альтернатива iproute2

→

Похожие темы