LINUX.ORG.RU
ФорумAdmin

iptables и алиас


0

1

есть eth0, eth1 и eth1:0.

как бы подставить в правило eth1:0 , что бы iptables не ругался?

eth10=«eth1:0»

iptables -A FORWARD -i $eth10 ......

не прокатывает.


Мне вот любопытно - кто-нибудь может объяснить смысл этих манипуляций? Судя по ману:

ip address - protocol address management.
       The address is a protocol (IP or IPv6) address attached to a network device.  Each device must have at least one address to use the  corresponding
       protocol.   It  is  possible  to have several different addresses attached to one device.  These addresses are not discriminated, so that the term
       alias is not quite appropriate for them and we do not use it in this document.
имена «алиасов» предназначены больше для человека (поэтому я им предпочитаю давать осмысленные имена, типа eth1:mng), а не для ядра, для которого все адреса равнозначны

zolden ★★★★★
()

Никак. Для всех пакетов, пришедших, что на адрес интерфеса eth1, что на адрес его алиаса eth1:0 будет срабатывать только "-i eth1".

mky ★★★★★
()

Используй не определеие критерия по интерфейсу.. а критерий по айпи -s, --sorce

Tok ★★
()
Ответ на: комментарий от Tok

Всем спасибо.

Мне вот любопытно - кто-нибудь может объяснить смысл этих манипуляций? Судя по ману:

машина -шлюз. Алиас для сети виртуальных машин. Да, использую -s. Вопрос на использование алиасов скорее имел академический характер.

zooooo
() автор топика
Ответ на: комментарий от zooooo

Для виртуальных машин лучше создать бридж интерфейс... и тогда ты сможешь использовать -i к созданому интерфейсу

Tok ★★
()
Ответ на: комментарий от Tok

>Для виртуальных машин лучше создать бридж интерфейс... и тогда ты сможешь использовать -i к созданому интерфейсу

можно по подробнее? Виртуальные машины не на этом сервере. Виртуалки физически смотрят в eth1, но в другой сети.

eth0 - смотрит к прову (192.168.1.2) eth1 - смотрит в локалку (192.168.11.1) eth1:0 - для виртуалок (10.2.2.1) ppp0 - внешний IP далее еще tun - 3 шт.

zooooo
() автор топика
Ответ на: комментарий от zooooo

А ну если это ты фаервол настраеваешь на Линукс-маршрутизаторе.. тогда да болие простой способ чем -s не найти...

Tok ★★
()
Ответ на: комментарий от Tok

Да, это маршрутизатор. Просто появилось время и решил привести скрипт настройки iptables в читаемый и понятный для других. Принципиально -i или -s для меня разницы нет, все равно придется некоторые машины из eth1:0 ограничивать по портам.

zooooo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.