 IPtables - 2 сети,  Боря, 23-Июн-06, 15:25 [смотреть все]Здраствуйте
У меня вот такая проблема :
роутер с ip 192,168,255,118 (Fedora core4 squid+iptables)
Имеесться две сети ! 192,168,255,*(#1) и 192,168,254,* (#2)Задача такова.. нужно чобы обе сети друг друга не видели НО из сети №2(192,168,254,*)
был доступ к двум машинам из сети №1 а именно к 192,168,255,29 и 192,168,255,100 Я не хавец в этом деле iptables тока пару дней тому назхад начал осваивать ! помогите пожалуйста решить данную проблему !..
|
- IPtables - 2 сети, Perece, 16:39 , 23-Июн-06 (1)
>Здраствуйте
>У меня вот такая проблема :
>роутер с ip 192,168,255,118 (Fedora core4 squid+iptables)
>Имеесться две сети ! 192,168,255,*(#1) и 192,168,254,* (#2)
>
>Задача такова.. нужно чобы обе сети друг друга не видели НО из
> сети №2(192,168,254,*)
>был доступ к двум машинам из сети №1 а именно к
> 192,168,255,29 и 192,168,255,100
>
>Я не хавец в этом деле iptables тока пару дней тому
>назхад начал осваивать ! помогите пожалуйста решить данную проблему !.. iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.254.0/24 -d 192.168.255.29 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.254.0/24 -d 192.168.255.100 -j ACCEPT это - попроще, но загружает (если есть autoload, иначе требует загрузки) ip_conntrack, что значительно увеличивает packet processing overhed. на сильно загруженом рутере (даже если релэйтные коннэкшны составляют малую долю трафика). так как остальное _все_ дропится, то этот рутер скорее всего будет работать с небольшой нагрузкой, и такая конфигурация более чем приемлима.
на всякий случай - более производительная конфигурация, наследие "времен 2.2" и iptables: iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -s 192.168.254.0/24 -d 192.168.255.29 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.255.29 -d 192.168.254.0/24 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
iptables -t filter -A FORWARD -s 192.168.255.29 -d 192.168.254.0/24 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.254.0/24 -d 192.168.255.100 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.255.100 -d 192.168.254.0/24 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DRPO
iptables -t filter -A FORWARD -s 192.168.255.100 -d 192.168.254.0/24 -j ACCEPT данный сетап имеет минус - обратные (с 255.29 и 255.100 в 254ю сеть) udp-соединения тоже будут проходить. однако эта конф. не требует ip_conntrack, и стсно может быть применена на рутере с большим трафиком (conntrack влияет на _все_ интерфейсы, стсно если есть другие, никак не связаные, то это имеет смысл)
- IPtables - 2 сети, Боря, 00:11 , 24-Июн-06 (2)
to PereceБольшое спасибо ... в понедельник или в субботу проверю обязательно !...
если вам не тяжело вы не моглибы мне пояснить значения вот этих строк а то я вообще не шарю и не моглибы подсказать может существует мануал по iptables для чайников которые шарят в виндах но пока не очень в Линухах ! (в смысле построения сетей ! если вообще такие есть ?!): данный сетап имеет минус - обратные (с 255.29 и 255.100 в 254ю сеть) udp-соединения тоже будут проходить. однако эта конф. не требует ip_conntrack, и стсно может быть применена на рутере с большим трафиком (conntrack влияет на _все_ интерфейсы, стсно если есть другие, никак не связаные, то это имеет смысл) это - попроще, но загружает (если есть autoload, иначе требует загрузки) ip_conntrack, что значительно увеличивает packet processing overhed. на сильно загруженом рутере (даже если релэйтные коннэкшны составляют малую долю трафика). так как остальное _все_ дропится, то этот рутер скорее всего будет работать с небольшой нагрузкой, и такая конфигурация более чем приемлима.
на всякий случай - более производительная конфигурация, наследие "времен 2.2" и iptables:
- IPtables - 2 сети, Боря, 10:57 , 26-Июн-06 (3)
Попробывал оба варианта ! но не один не работает ! незнаю что делать (!
- IPtables - 2 сети, perece, 14:52 , 29-Июн-06 (4)
>Попробывал оба варианта ! но не один не работает ! незнаю что
>делать (!
А роутинг-то на ней вообще включен или как?"sysctl net.ipv4.ip_forward" что говорит? (или "cat /proc/sys/net/ipv4/ip_forward" если у тебя нет командочки sysctl)
|
Версия для распечатки
