Подскажите, как мне обыграть обратное сопоставление внешнего провайдеровского интерфейса правилами IPFilter?
попытался вбить такое правило:
block out from 192.168.0.0/16 to !fxp0
не проканало :( требует хост.
Использую ipnat:
map fxp0 from 192.168.0.0/16 to any -> 111.222.333.444/32 portmap tcp/udp 2000:6000
map fxp0 from 192.168.0.0/16 to any -> 111.222.333.444/32
Пытался указать block out from 192.168.0.0/16 to !111.222.333.444/32
По логам видно, что соединение идет следующим образом:
машина 192.168.1.2 (пусть будет просто "комп") обращяется к DNS на этом-же сервере доменом. Сервер бегает в инет, берет ip к тому домену и бежит обратно с ответом. Комп берет ip, и обращяется по нему к внешнему хосту через ipnat. Ipnat пишет, что комп замаскарадил при обращении на внешний ip. Дальше сразу валится сообщение о том, что 192.168.1.2 не получил доступ к внешнему ip, т.к. ipfilter не пустил его к внешнему ip.
Т.е. прям по правилу меня и послал. Может у меня что не так работает... не пойму. К сожалению подробностей о том, как должно работать, не знаю :(
Смысл всего этого: запретить пользователям из сети 192.168.1.0/24 ходить в сети 192.168.2.0/24, 192.168.3.0/24 и т.д. И конечно наоборот. Т.е. чтобы никто из соседей друг к другу не лазил.
Количество сетей постоянно растет и очень не хочется для каждой сети в правилах перечислять все остальные сети, куда ей нельзя...
Хелп, люди! на вас вся надежда!
P.S. Система FreeBSD 5.1
IPFilter и IPNat те, что идут с осью