[маршрутизация] Как сделать маскарадинг, запретив форвардинг?

0

1

у меня клиент1[192.168.0.2]----[192.168.0.1]сервер[192.168.1.1]-----клиент2[192.168.1.2], если сделать echo 1 > /proc/sys/net/ipv4/ip_forward и iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE , то если я отключю маскарадинг, то без проблем пакеты идут (форвардятся), если маршруты прописать. Мало того, мне надо чтобы только клиент1 видел клиента2, и никак на оборот. А тут, при прописанных у него маршрутах, клиент2, видит клиента1 (даже пинги идут).

Подскажите, как можно сделать маскарадинг безопасно? Или заблочить форвардинг, не заблокировав маскарадинг (выключение глобального форвардинга или форвардинга на любом из двух интерфейсов у меня приводит к неработоспособности маскарадинга)?

Ссылка

←	[опять NAT] Публикация сервера

Nat

→

>мне надо чтобы только клиент1 видел клиента2, и никак на оборот
Хм. И как ты себе это представляешь?
А вообще тебе нужен SNAT, а не MASQUERADE. Адрес же статичный.
Можешь явно запретить форвард на .0.2. Это же файрвол.

то если я отключю маскарадинг

Ты его включаешь.

x3al ★★★★★
(08.07.11 01:27:20 MSK)

Ссылка

>то если я отключю маскарадинг

как можно сделать маскарадинг безопасно?

чтобы только клиент1 видел клиента2, и никак на оборот.

Я нифига не понял, но, наверное, вам нужно чего-то прописать в цепочке FORWARD для первого пакета соединения (state NEW). Так, чтобы новые пакеты (инициализация соединения) могла проходить только с src-адресом 192.168.0.2.

mky ★★★★★
(08.07.11 01:31:03 MSK)