The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"iptables -t nat -d (!net1 and !net2) -j DNAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"iptables -t nat -d (!net1 and !net2) -j DNAT"  
Сообщение от DeusInversus email(ok) on 14-Фев-07, 12:37 
Добрый день!

Есть squid, на который с помощью iptables заворачиваются запросы по 80-у порту, только если
они не идут в сеть 10.0.0.0/8:
iptables -t nat -A PREROUTING -d !10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Теперь понадобилось, чтобы они также НЕ заворачивались и в случае если идут в сеть 192.168.0.0.
Т.е. нужно что-то вроде такой записи: iptables -t nat -d !(10.0.0.0/8 and 192.168.0.0/16) -j REDIRECT ...

Как это можно сделать??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "iptables -t nat -d (!net1 and !net2) -j DNAT"  
Сообщение от pavel (??) on 14-Фев-07, 13:52 
создай новую цепочку
заворачивай в неё то, что нужно
а в этой цепочке отправляй всё что нужно на squid
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables -t nat -d (!net1 and !net2) -j DNAT"  
Сообщение от pavel (??) on 14-Фев-07, 14:19 
да блин понаписал ----

iptables -N nonredir
iptables -A PREROUTING -d 10.0.0.0/8 -p tcp --dport 80 -j nonlocal
iptables -A PREROUTING -d 192.168.0.0/24 -p tcp --dport 80 -j nonlocal
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -A nonlocal -j ACCEPT(или как там дальше фильтровать пакеты)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables -t nat -d (!net1 and !net2) -j DNAT"  
Сообщение от pavel (??) on 14-Фев-07, 14:31 
>да блин понаписал ----
неее -- вот ведь чудак --- надо спать,надо спать,надо спать,надо спать....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables -t nat -d (!net1 and !net2) -j DNAT"  
Сообщение от DeusInversus email(ok) on 15-Фев-07, 01:16 
Благодарю!

Без опечаток решение выглядит так:

iptables -t nat -N nonredir

iptables -t nat -A PREROUTING -d 10.0.0.0/8 -p tcp --dport 80 -j nonredir
iptables -t nat -A PREROUTING -d 192.168.0.0/24 -p tcp --dport 80 -j nonredir
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -A nonredir -j ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "iptables -t nat -d (!net1 and !net2) -j DNAT"  
Сообщение от PavelR email(??) on 15-Фев-07, 08:59 
>Благодарю!
>
>Без опечаток решение выглядит так:
>
>iptables -t nat -N nonredir
>
>iptables -t nat -A PREROUTING -d 10.0.0.0/8 -p tcp --dport 80 -j
>nonredir
>iptables -t nat -A PREROUTING -d 192.168.0.0/24 -p tcp --dport 80 -j
>nonredir
>iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports
>3128
>
>iptables -A nonredir -j ACCEPT

Несколько улыбнуло -  почему же сразу не сделать:

iptables -t nat -A PREROUTING -d 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

и не создавать лишние цепочки "ни о чем"?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру