форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"2 сетевухи ('Полуроутинг')"
Сообщение от slavon (ok) on 12-Апр-04, 15:16  (MSK)
Приветствую тебя о Гуру :) Проблемка есть... буду очень благодарен за помощь в моей проблеме... Короче... есть Машина - WIndows (192.168.0.2) -> 192.168.0.1 Linux: Eth0: 192.168.0.1 mask 255/255/255/0 Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 Есть локалка 10.10.*.* Есть Интернет... всё через 10.10.148.1 Нужно: Сделать выход только в Локалку для Windows через Linux у юзеров, и в Локалку и Инет у Администраторов (группы в Винде)... Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... я уже неделю парюсь :)) у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "2 сетевухи ('Полуроутинг')"
Сообщение от MaximKuznetcov (??) on 13-Апр-04, 02:42  (MSK)
>Приветствую тебя о Гуру :) >Проблемка есть... буду очень благодарен за помощь в моей проблеме... >Короче... есть Машина - >WIndows (192.168.0.2) -> 192.168.0.1 >Linux: >Eth0: 192.168.0.1 mask 255/255/255/0 >Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 > >Есть локалка 10.10.*.* >Есть Интернет... всё через 10.10.148.1 > >Нужно: >Сделать выход только в Локалку для Windows через Linux у юзеров, и >в Локалку и Инет у Администраторов (группы в Винде)... > >Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... >я уже неделю парюсь :)) > >у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2) решается на уровне iptables - просто рубишь доступ к шлюзу для Win ;-) если от Интернет ничего кроме Web не нужно,обрати внимание на squid - он может определять кто из какой группы и соотв пущщать/непущать. Или сразу смотри на SOCKS.. P.S. Вообще-то есть что-то нехорошее так делить пользователей одной машины ;-) Админ он то и админ,чтобы у него было своё место, с которого можно идтить в сеть ;-))
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "2 сетевухи ('Полуроутинг')"
	Сообщение от slavon (ok) on 13-Апр-04, 10:19  (MSK)
	>>Приветствую тебя о Гуру :) >>Проблемка есть... буду очень благодарен за помощь в моей проблеме... >>Короче... есть Машина - >>WIndows (192.168.0.2) -> 192.168.0.1 >>Linux: >>Eth0: 192.168.0.1 mask 255/255/255/0 >>Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 >> >>Есть локалка 10.10.*.* >>Есть Интернет... всё через 10.10.148.1 >> >>Нужно: >>Сделать выход только в Локалку для Windows через Linux у юзеров, и >>в Локалку и Инет у Администраторов (группы в Винде)... >> >>Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... >>я уже неделю парюсь :)) >> >>у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2) >решается на уровне iptables - просто рубишь доступ к шлюзу для Win >;-) >если от Интернет ничего кроме Web не нужно,обрати внимание на squid - >он может определять кто из какой группы и соотв пущщать/непущать. >Или сразу смотри на SOCKS.. >P.S. Вообще-то есть что-то нехорошее так делить пользователей одной машины ;-) Админ >он то и админ,чтобы у него было своё место, с которого >можно идтить в сеть ;-)) Блин... если тебе не сложно... опиши командочки для ip tables именно для этого случая... я пробовал... у меня не получилось создать форвардинг... Через ip tables нужно чтобы ворвардилось на шлюз (10.10.148.1) при условии что запрашивается зона 10.10.*.*... в противном случае не пускать... и ещё squid дай ссылочку почитать по чёткой настройке с примерами именно по пользователям авторизации (желательно чтобы по "теневой".. т.е. когда обращается виндовая машина, она по идее передаёт имя пользователся... вот чтобы по нему отсекалось, а не приходилось в каждой программе проксю прописывать! ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "2 сетевухи ('Полуроутинг')"
	Сообщение от MaximKuznetcov (??) on 13-Апр-04, 12:12  (MSK)
	>>>Приветствую тебя о Гуру :) >>>Проблемка есть... буду очень благодарен за помощь в моей проблеме... >>>Короче... есть Машина - >>>WIndows (192.168.0.2) -> 192.168.0.1 >>>Linux: >>>Eth0: 192.168.0.1 mask 255/255/255/0 >>>Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 >>> >>>Есть локалка 10.10.*.* >>>Есть Интернет... всё через 10.10.148.1 >>> >>>Нужно: >>>Сделать выход только в Локалку для Windows через Linux у юзеров, и >>>в Локалку и Инет у Администраторов (группы в Винде)... >>> >>>Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... >>>я уже неделю парюсь :)) >>> >>>у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2) >>решается на уровне iptables - просто рубишь доступ к шлюзу для Win >>;-) >>если от Интернет ничего кроме Web не нужно,обрати внимание на squid - >>он может определять кто из какой группы и соотв пущщать/непущать. >>Или сразу смотри на SOCKS.. >>P.S. Вообще-то есть что-то нехорошее так делить пользователей одной машины ;-) Админ >>он то и админ,чтобы у него было своё место, с которого >>можно идтить в сеть ;-)) > >Блин... если тебе не сложно... опиши командочки для ip tables именно для >этого случая... я пробовал... у меня не получилось создать форвардинг... Через >ip tables нужно чтобы ворвардилось на шлюз (10.10.148.1) при условии что >запрашивается зона 10.10.*.*... в противном случае не пускать... и ещё squid >дай ссылочку почитать по чёткой настройке с примерами именно по пользователям >авторизации (желательно чтобы по "теневой".. т.е. когда обращается виндовая машина, она >по идее передаёт имя пользователся... вот чтобы по нему отсекалось, а >не приходилось в каждой программе проксю прописывать! ;) если я правильно понял - за интрефйесом 192.168.0.1 висит одноименная сеть которую в ИНЕТ(то есть к шлюзу) пущать не надо ? тогда так - запретить доступ к шлюзу iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP разрешить к остальной локалке iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT и если надо то NAT (вообще спрятать сеть 192.168) iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.10.148.26 вроде бы так ;-) только для справки - это НЕ МАРШРУТИЗАЦИЯ
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "2 сетевухи ('Полуроутинг')"
	Сообщение от slavon (ok) on 13-Апр-04, 12:26  (MSK)
	>>>>Приветствую тебя о Гуру :) >>>>Проблемка есть... буду очень благодарен за помощь в моей проблеме... >>>>Короче... есть Машина - >>>>WIndows (192.168.0.2) -> 192.168.0.1 >>>>Linux: >>>>Eth0: 192.168.0.1 mask 255/255/255/0 >>>>Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 >>>> >>>>Есть локалка 10.10.*.* >>>>Есть Интернет... всё через 10.10.148.1 >>>> >>>>Нужно: >>>>Сделать выход только в Локалку для Windows через Linux у юзеров, и >>>>в Локалку и Инет у Администраторов (группы в Винде)... >>>> >>>>Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... >>>>я уже неделю парюсь :)) >>>> >>>>у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2) >>>решается на уровне iptables - просто рубишь доступ к шлюзу для Win >>>;-) >>>если от Интернет ничего кроме Web не нужно,обрати внимание на squid - >>>он может определять кто из какой группы и соотв пущщать/непущать. >>>Или сразу смотри на SOCKS.. >>>P.S. Вообще-то есть что-то нехорошее так делить пользователей одной машины ;-) Админ >>>он то и админ,чтобы у него было своё место, с которого >>>можно идтить в сеть ;-)) >> >>Блин... если тебе не сложно... опиши командочки для ip tables именно для >>этого случая... я пробовал... у меня не получилось создать форвардинг... Через >>ip tables нужно чтобы ворвардилось на шлюз (10.10.148.1) при условии что >>запрашивается зона 10.10.*.*... в противном случае не пускать... и ещё squid >>дай ссылочку почитать по чёткой настройке с примерами именно по пользователям >>авторизации (желательно чтобы по "теневой".. т.е. когда обращается виндовая машина, она >>по идее передаёт имя пользователся... вот чтобы по нему отсекалось, а >>не приходилось в каждой программе проксю прописывать! ;) >если я правильно понял - за интрефйесом 192.168.0.1 висит одноименная сеть которую >в ИНЕТ(то есть к шлюзу) пущать не надо ? >тогда так - >запретить доступ к шлюзу >iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >разрешить к остальной локалке >iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT >и если надо то NAT (вообще спрятать сеть 192.168) >iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.10.148.26 >вроде бы так ;-) >только для справки - это НЕ МАРШРУТИЗАЦИЯ Маленькая поправка чтобы грамотнее написал мне ;) >в ИНЕТ(то есть к шлюзу) пущать не надо ? через 10.10.148.1 идёт и в и-нет и в остальную локалку 10.10.*!!!.* Машину 192.168.0.2 видеть из сети не должны.. но возможность форвардинга обратного должна быть... (в игры по сетке играть, с фтп локалки кочать и т д.) обясни поподробннее >iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT Какая разница между 10.10.148.1 и 10.10.148.1/24 ? :) + я понимаю что стыдно... но в чём разница между форвардингом и NAT? если для NAT нужно в 10.10.148.* отдельный виртуальный IP - то не подходит
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "2 сетевухи ('Полуроутинг')"
	Сообщение от MaximKuznetcov (??) on 13-Апр-04, 14:40  (MSK)
	>>>>>Приветствую тебя о Гуру :) >>>>>Проблемка есть... буду очень благодарен за помощь в моей проблеме... >>>>>Короче... есть Машина - >>>>>WIndows (192.168.0.2) -> 192.168.0.1 >>>>>Linux: >>>>>Eth0: 192.168.0.1 mask 255/255/255/0 >>>>>Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 >>>>> >>>>>Есть локалка 10.10.*.* >>>>>Есть Интернет... всё через 10.10.148.1 >>>>> >>>>>Нужно: >>>>>Сделать выход только в Локалку для Windows через Linux у юзеров, и >>>>>в Локалку и Инет у Администраторов (группы в Винде)... >>>>> >>>>>Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... >>>>>я уже неделю парюсь :)) >>>>> >>>>>у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2) >>>>решается на уровне iptables - просто рубишь доступ к шлюзу для Win >>>>;-) >>>>если от Интернет ничего кроме Web не нужно,обрати внимание на squid - >>>>он может определять кто из какой группы и соотв пущщать/непущать. >>>>Или сразу смотри на SOCKS.. >>>>P.S. Вообще-то есть что-то нехорошее так делить пользователей одной машины ;-) Админ >>>>он то и админ,чтобы у него было своё место, с которого >>>>можно идтить в сеть ;-)) >>> >>>Блин... если тебе не сложно... опиши командочки для ip tables именно для >>>этого случая... я пробовал... у меня не получилось создать форвардинг... Через >>>ip tables нужно чтобы ворвардилось на шлюз (10.10.148.1) при условии что >>>запрашивается зона 10.10.*.*... в противном случае не пускать... и ещё squid >>>дай ссылочку почитать по чёткой настройке с примерами именно по пользователям >>>авторизации (желательно чтобы по "теневой".. т.е. когда обращается виндовая машина, она >>>по идее передаёт имя пользователся... вот чтобы по нему отсекалось, а >>>не приходилось в каждой программе проксю прописывать! ;) >>если я правильно понял - за интрефйесом 192.168.0.1 висит одноименная сеть которую >>в ИНЕТ(то есть к шлюзу) пущать не надо ? >>тогда так - >>запретить доступ к шлюзу >>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >>разрешить к остальной локалке >>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT >>и если надо то NAT (вообще спрятать сеть 192.168) >>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.10.148.26 >>вроде бы так ;-) >>только для справки - это НЕ МАРШРУТИЗАЦИЯ > > >Маленькая поправка чтобы грамотнее написал мне ;) >>в ИНЕТ(то есть к шлюзу) пущать не надо ? >через 10.10.148.1 идёт и в и-нет и в остальную локалку 10.10.*!!!.* >Машину 192.168.0.2 видеть из сети не должны.. но возможность форвардинга обратного должна >быть... (в игры по сетке играть, с фтп локалки кочать и >т д.) > >обясни поподробннее >>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT > >Какая разница между 10.10.148.1 и 10.10.148.1/24 ? :) >+ я понимаю что стыдно... но в чём разница между форвардингом и >NAT? если для NAT нужно в 10.10.148.* отдельный виртуальный IP - >то не подходит тогда сорри - более подробно и с исправлениями iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1 -j DROP iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1/16 -j ACCEPT iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -j DROP так вроде совсем хорошо ;-) 1-е правило : запретить доступ непосредственно к шлюзу 10.10.148.1 2-е : разрешить разрешить доступ ко всей остальной сети 10.10.x.x 3-e : запретить обращение ко всем прочим ;-) все три правила применяются для клиентов сети 192.168.0.x чьи пакеты направились в eth1 Правило с NAT остается прежним - оно маскирует сеть 192.168.0.х под твой интерфейс;-) Прим : aaa.bbb.ccc.ddd -это адрес хоста aaa.bbb.ccc.ddd/NN - это уже адрес сети в которой номер занимает первые NN бит; то есть 192.168.0.1/24 это сеть 192.168.0.x или по старинке 192.168.0.1/255.255.255.0 Чтобы получить еще более детальную помощь надо или почитать доки, или организовать root`овый вход для добровольных помошников ;-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "2 сетевухи ('Полуроутинг')"
	Сообщение от slavon (ok) on 13-Апр-04, 14:58  (MSK)
	>>>>>>Приветствую тебя о Гуру :) >>>>>>Проблемка есть... буду очень благодарен за помощь в моей проблеме... >>>>>>Короче... есть Машина - >>>>>>WIndows (192.168.0.2) -> 192.168.0.1 >>>>>>Linux: >>>>>>Eth0: 192.168.0.1 mask 255/255/255/0 >>>>>>Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 >>>>>> >>>>>>Есть локалка 10.10.*.* >>>>>>Есть Интернет... всё через 10.10.148.1 >>>>>> >>>>>>Нужно: >>>>>>Сделать выход только в Локалку для Windows через Linux у юзеров, и >>>>>>в Локалку и Инет у Администраторов (группы в Винде)... >>>>>> >>>>>>Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... >>>>>>я уже неделю парюсь :)) >>>>>> >>>>>>у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2) >>>>>решается на уровне iptables - просто рубишь доступ к шлюзу для Win >>>>>;-) >>>>>если от Интернет ничего кроме Web не нужно,обрати внимание на squid - >>>>>он может определять кто из какой группы и соотв пущщать/непущать. >>>>>Или сразу смотри на SOCKS.. >>>>>P.S. Вообще-то есть что-то нехорошее так делить пользователей одной машины ;-) Админ >>>>>он то и админ,чтобы у него было своё место, с которого >>>>>можно идтить в сеть ;-)) >>>> >>>>Блин... если тебе не сложно... опиши командочки для ip tables именно для >>>>этого случая... я пробовал... у меня не получилось создать форвардинг... Через >>>>ip tables нужно чтобы ворвардилось на шлюз (10.10.148.1) при условии что >>>>запрашивается зона 10.10.*.*... в противном случае не пускать... и ещё squid >>>>дай ссылочку почитать по чёткой настройке с примерами именно по пользователям >>>>авторизации (желательно чтобы по "теневой".. т.е. когда обращается виндовая машина, она >>>>по идее передаёт имя пользователся... вот чтобы по нему отсекалось, а >>>>не приходилось в каждой программе проксю прописывать! ;) >>>если я правильно понял - за интрефйесом 192.168.0.1 висит одноименная сеть которую >>>в ИНЕТ(то есть к шлюзу) пущать не надо ? >>>тогда так - >>>запретить доступ к шлюзу >>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >>>разрешить к остальной локалке >>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT >>>и если надо то NAT (вообще спрятать сеть 192.168) >>>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.10.148.26 >>>вроде бы так ;-) >>>только для справки - это НЕ МАРШРУТИЗАЦИЯ >> >> >>Маленькая поправка чтобы грамотнее написал мне ;) >>>в ИНЕТ(то есть к шлюзу) пущать не надо ? >>через 10.10.148.1 идёт и в и-нет и в остальную локалку 10.10.*!!!.* >>Машину 192.168.0.2 видеть из сети не должны.. но возможность форвардинга обратного должна >>быть... (в игры по сетке играть, с фтп локалки кочать и >>т д.) >> >>обясни поподробннее >>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT >> >>Какая разница между 10.10.148.1 и 10.10.148.1/24 ? :) >>+ я понимаю что стыдно... но в чём разница между форвардингом и >>NAT? если для NAT нужно в 10.10.148.* отдельный виртуальный IP - >>то не подходит > >тогда сорри - более подробно и с исправлениями >iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1 -j DROP >iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1/16 -j ACCEPT >iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -j DROP >так вроде совсем хорошо ;-) >1-е правило : запретить доступ непосредственно к шлюзу 10.10.148.1 >2-е : разрешить разрешить доступ ко всей остальной сети 10.10.x.x >3-e : запретить обращение ко всем прочим ;-) >все три правила применяются для клиентов сети 192.168.0.x чьи пакеты направились в >eth1 >Правило с NAT остается прежним - оно маскирует сеть 192.168.0.х под твой >интерфейс;-) > >Прим : aaa.bbb.ccc.ddd -это адрес хоста >aaa.bbb.ccc.ddd/NN - это уже адрес сети в которой номер занимает первые NN > >бит; то есть 192.168.0.1/24 это сеть 192.168.0.x или по старинке 192.168.0.1/255.255.255.0 > >Чтобы получить еще более детальную помощь надо или почитать доки, >или организовать root`овый вход для добровольных помошников ;-) Спасибо огромное! только >iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1 -j DROP закрывает шлюз... а через него у меня в остальную локалку идёт доступ... как сказать - направлять на шлюз только если пытаемся обратится на 10.10.*.*?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "2 сетевухи ('Полуроутинг')"
	Сообщение от slavon (ok) on 13-Апр-04, 19:09  (MSK)
	>>>>>>>Приветствую тебя о Гуру :) >>>>>>>Проблемка есть... буду очень благодарен за помощь в моей проблеме... >>>>>>>Короче... есть Машина - >>>>>>>WIndows (192.168.0.2) -> 192.168.0.1 >>>>>>>Linux: >>>>>>>Eth0: 192.168.0.1 mask 255/255/255/0 >>>>>>>Eth1: 10.10.148.26 mask 255/255/255!/0 gw 10.10.148.1 >>>>>>> >>>>>>>Есть локалка 10.10.*.* >>>>>>>Есть Интернет... всё через 10.10.148.1 >>>>>>> >>>>>>>Нужно: >>>>>>>Сделать выход только в Локалку для Windows через Linux у юзеров, и >>>>>>>в Локалку и Инет у Администраторов (группы в Винде)... >>>>>>> >>>>>>>Можно устроить 2 VPN'а... или другие способы... просьба прописать прям с командами... >>>>>>>я уже неделю парюсь :)) >>>>>>> >>>>>>>у меня Linxu Mandrake 9.2 (kernel 2.6.3 with iproute2) >>>>>>решается на уровне iptables - просто рубишь доступ к шлюзу для Win >>>>>>;-) >>>>>>если от Интернет ничего кроме Web не нужно,обрати внимание на squid - >>>>>>он может определять кто из какой группы и соотв пущщать/непущать. >>>>>>Или сразу смотри на SOCKS.. >>>>>>P.S. Вообще-то есть что-то нехорошее так делить пользователей одной машины ;-) Админ >>>>>>он то и админ,чтобы у него было своё место, с которого >>>>>>можно идтить в сеть ;-)) >>>>> >>>>>Блин... если тебе не сложно... опиши командочки для ip tables именно для >>>>>этого случая... я пробовал... у меня не получилось создать форвардинг... Через >>>>>ip tables нужно чтобы ворвардилось на шлюз (10.10.148.1) при условии что >>>>>запрашивается зона 10.10.*.*... в противном случае не пускать... и ещё squid >>>>>дай ссылочку почитать по чёткой настройке с примерами именно по пользователям >>>>>авторизации (желательно чтобы по "теневой".. т.е. когда обращается виндовая машина, она >>>>>по идее передаёт имя пользователся... вот чтобы по нему отсекалось, а >>>>>не приходилось в каждой программе проксю прописывать! ;) >>>>если я правильно понял - за интрефйесом 192.168.0.1 висит одноименная сеть которую >>>>в ИНЕТ(то есть к шлюзу) пущать не надо ? >>>>тогда так - >>>>запретить доступ к шлюзу >>>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >>>>разрешить к остальной локалке >>>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT >>>>и если надо то NAT (вообще спрятать сеть 192.168) >>>>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.10.148.26 >>>>вроде бы так ;-) >>>>только для справки - это НЕ МАРШРУТИЗАЦИЯ >>> >>> >>>Маленькая поправка чтобы грамотнее написал мне ;) >>>>в ИНЕТ(то есть к шлюзу) пущать не надо ? >>>через 10.10.148.1 идёт и в и-нет и в остальную локалку 10.10.*!!!.* >>>Машину 192.168.0.2 видеть из сети не должны.. но возможность форвардинга обратного должна >>>быть... (в игры по сетке играть, с фтп локалки кочать и >>>т д.) >>> >>>обясни поподробннее >>>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1 -j DROP >>>>iptables -A FORWARD -s 192.168.0.1/24 -d 10.10.148.1/24 -j ACCEPT >>> >>>Какая разница между 10.10.148.1 и 10.10.148.1/24 ? :) >>>+ я понимаю что стыдно... но в чём разница между форвардингом и >>>NAT? если для NAT нужно в 10.10.148.* отдельный виртуальный IP - >>>то не подходит >> >>тогда сорри - более подробно и с исправлениями >>iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1 -j DROP >>iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1/16 -j ACCEPT >>iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -j DROP >>так вроде совсем хорошо ;-) >>1-е правило : запретить доступ непосредственно к шлюзу 10.10.148.1 >>2-е : разрешить разрешить доступ ко всей остальной сети 10.10.x.x >>3-e : запретить обращение ко всем прочим ;-) >>все три правила применяются для клиентов сети 192.168.0.x чьи пакеты направились в >>eth1 >>Правило с NAT остается прежним - оно маскирует сеть 192.168.0.х под твой >>интерфейс;-) >> >>Прим : aaa.bbb.ccc.ddd -это адрес хоста >>aaa.bbb.ccc.ddd/NN - это уже адрес сети в которой номер занимает первые NN >> >>бит; то есть 192.168.0.1/24 это сеть 192.168.0.x или по старинке 192.168.0.1/255.255.255.0 >> >>Чтобы получить еще более детальную помощь надо или почитать доки, >>или организовать root`овый вход для добровольных помошников ;-) > >Спасибо огромное! >только >>iptables -A FORWARD -s 192.168.0.1/24 -o eth1 -d 10.10.148.1 -j DROP >закрывает шлюз... а через него у меня в остальную локалку идёт доступ... >как сказать - направлять на шлюз только если пытаемся обратится на >10.10.*.*? Гм... в общем я понял свой косяк... разобрался так сказать... БОЛЬШОЕ СПАСИБО за подробное обяснение...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.