Re[2]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
== == == == == == == == == == == == == == == == == == == == ==
== Dnia 14-08-2005 o godzinie 13:50:51 napisano, co następuje:
j> Radosław Maliborski napisał(a):
>>nie, dlatego, ze interfejs wejsciowy mozna podac jednynie dla
>>lancuchow: INPUT, FORWARD i PREROUTING (jak twierdzi man iptables:>).
>>
>>
>>
j> Czyli ta reguła z netu jest nie poprawna?:(bo jest interfejs wejsciowy)
j> iptables -t nat -A POSTROUTING -i eth1 -s 192.168.7.0/24 -d !
j> 192.168.7.0/24 -j SNAT --to-source 1.2.3.4
j> ?
za manualem do iptables:
-i, --in-interface [!] name
Name of an interface via which a packet is going to be received
(only for packets entering the INPUT, FORWARD and PREROUTING
chains). When the "!" argument is used before the interface
name, the sense is inverted. If the interface name ends in a
"+", then any interface which begins with this name will match.
If this option is omitted, any interface name will match.
Poza tym nie bardzo rozumiem po co teraz uparles sie na
wyspecyfikowanie interfejsu wejsciowego dla pakietow wychodzacych.
Chciales miec iptables pod router bez zadnych zabezpieczen, a tutaj
probujesz wlasnie jakies wprowadzac... Jesli koniecznie zalezy ci na
tym, zeby pakiety wchodzace na eth1 spelnialy takie kryteria odnosnie
adresow IP to dodaj wczesniej odpowiednia regule dla lancucha FORWARD,
przy czym wtedy bedziesz musial zmienic jego domyslna polityke na
DROP. Ew. mozna pokombinowac jeszcze z lancuchem PREROUTING, gdzie
dziala -i, a nie dziala -o :)
--
Milej zabawy,
R.M.M
Reply to: