On Tue, Nov 23, 2010 at 10:47:26AM +0100, Joakim Seeberg wrote:
On 23-11-2010 02:54, Jonas Smedegaard wrote:
On Tue, Nov 23, 2010 at 12:09:41AM +0100, Joakim Seeberg wrote:
Hej, er der nogen der kan hjælpe mig med nedenstående iptables
script. Mit problem er at jeg ikke kan printe til printer på LAN,
men jeg kan godt pinge den.
[snip]
Printern har ip 192.168.2.1
eth1 har ip 192.168.1.1/ 255.255.252.0
dhcp range er: 192.168.1.20 - 254/ med netmaske 255.255.255.0
dhcp clienter må ikke udskrive direkte til printer, som derfor er
flyttet til 192.168.2.1. Clienterne må gerne udskrive til cups på
server 192.168.1.1/255.255.252.0, der så kan udskrive til printer.
Hvad er det for noget fusk med at serveren har en underlig netmaske?
Alle maskiner på samme logiske net skal bruge med samme netmaske.
Maskiner kan have forskellig opsætning på samme _fysiske_ net men det
er ikke en metode til at undertrykke en delmængde!
Prøv at installere pakken ipcalc og leg med det, for at se hvordan
broadcast-adressen ændres når du piller ved netmasken. Der går
fundamentalt kludder i kommunikationen.
Det ser underligt ud - det er ikke 192.168.1.0/255.255.255.0 (altså
et klassisk klasse-C net)?
Ja jeg har også en ide om at problemet ligger i netværk setup og ikke
i selve scriptet. alternativt kunne jeg også have printeren på samme
subnet med /24 netmaske og begrænse adgangen til printeren med
iptables/shorewall.
Du kan ikke blokere adgang til printeren når den er på samme subnet
som klienterne: de snakker direkte sammen, ikke via server/gateway.
Du kan opsætte klienter på 192.168.1.0/24 of printer på 192.168.2.0/24
men koble begge logiske net på samme fysiske net. Det giver ikke ægte
sikkerhed og du vil få en masse støj i din firewall, men det er muligt.