Re: iptables - на неск. итерфейсов
а теперь появилась более сложная задачка
(чем тогда)
и приходится втыкаться в логику работы
iptables, но
что-то сложновато идет пока.
Вот хорошое руководство:
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
читаю
1. из локалки было видно все (все сети и
интернет)
2. настроить фаервол
что я делаю:
1. прописал роутинг так что с хоста стали
доступны все три сети
2. включил я форвардинг пакетов
теперь надо описать правила
пишу:
1. для того, чтобы было видно сети а.а.а.а ...
iptables -s m.m.m.m -d a.a.a.a -t nat -A POSTROUTING -o eth0 \
-j SNAT --to-source $ETH0_IP
с локалки стало видно сеть a.a.a.a
далее
iptables -s m.m.m.m -d b.b.b.b -t nat -A POSTROUTING -o eth0 \
-j SNAT --to-source $ETH0_IP
стало видно сеть b.b.b.b
аналогично для сетей d.d.d.d и c.c.c.c
вот смысл всего-вышенаписанного я не понял. зачем SNAT?
зачем iptables?
разве это не решаешься роутингом?
реально задача несколько сложнее - нужно не все подряд роутить,
а только некоторые сервисы
в принципе наверно можно сделать что-то типа роутинг+iptables
я подумаю над этим
(дело в том, что ни с роутингом ни с маскарадингом итп я еще
толком не разбирался... например я не знаю как роутить пакеты с
интерфейса на интерфейс с помощью route? или под роутингом Вы
подразумеваете не route?)
я пытался разобраться по результатам работы генератора фаерволов и по ману
iptables. а тот генератор с интерфейса на интерфейс пакеты именно с
помощью SNAT
отправлял, вот я и считал что это правильно...
2. интернет
iptables -s m.m.m.m -t nat -A POSTROUTING -o ppp0 \
-j SNAT --to-source $INET_IP
с локалки стало видно интернет
соответственно сразу вопрос:
когда мы задали несколько правил (как
описано выше) для пакета, пришедшего на
хост правило выбирается в том порядке,
как мы их задали?
да, срабатывают в порядке следования.
ps. после прочтения "iptables tutorial" - welcome.
спасибо
Reply to: