Kamen TOMOV wrote:
Здравей Георги,
Не съм сигурен, че разбирам препоръката ти..
On Fri, Jan 28 2005, Georgi Genov wrote:
Не обещавам това да работи не съм го провал. Но мисля, че такъв трябва да е принципа на това, което искаш.
#LAN /sbin/ip link set eth0 up /sbin/ip addr add 192.168.254.1/24
#UPLINK 1 /sbin/ip link set eth1 up /sbin/ip addr add aaa.bbb.ccc.ddd/x
#UPLINK 2 /sbin/ip link set eth2 up /sbin/ip addr add AAA.BBB.CCC.DDD/X
Дотука ясно - дигнал съм си интерфейсите и аз.
#Default GW /sbin/ip route add 0.0.0.0/0 via aaa.bbb.ccc.ddd/x dev eth1 #/sbin/ip route add 0.0.0.0/0 via AAA.BBB.CCC.DDD/X dev eth2
Тук съм збъркал наистина. <>aaa.bbb.ccc.ddd/x да се чете aaa.bbb.ccc.ddd, грешка при copy/paste sorry този ред не е задължителен ако не искаш машината (рутер) да има 'интернет' '0.0.0.0/0' е еквивалент на 'default'
тука също 'aaa.bbb.ccc.ddd/x' да се чете aaa.bbb.ccc.ddd, грешка по същата причина, като по гореКакво имаш в предвид при положение, че: - "via" трябва да е последвано от рутер а не от мрежа; - Наистина ли искаш да пиша "0.0.0.0/0" или имаш в предвид да го заместя?
#ROUTE TABLE /sbin/ip route add 0.0.0.0/0 via aaa.bbb.ccc.ddd/x dev eth1 table 1 /sbin/ip route add 0.0.0.0/0 via AAA.BBB.CCC.DDD/X dev eth2 table 2
Бих те попитал същото: Имаш ли някъкви по-особенни съображения за да ползваш SNAT?#RULEz /sbin/ip rule add from 192.168.254.1/25 table 1 /sbin/ip rule add from 192.168.254.128/25 table 2
Тука по същия начин не е ясно какво препоръчваш, но ако допусна че това са просто грешки, то аз правя същото в моят скрипт и пак не се получава това което трябва.
#MASQUERADE /usr/sbin/iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE /usr/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE /usr/sbin/iptables --table nat --append POSTROUTING --out-interface eth2 -j MASQUERADE
Тука има две основни разлики, които не разбирам:
- Какъв е проблема, че да използвам MASQUERADE, вместо SNAT? - Защо препоръчваш да има правило за eth0?
добре де правилото за eth0 би ограничило до известна степен клиентите ти ако искаш го забрави :)
#FORWARD
/usr/sbin/iptables -P FORWARD DROP
/usr/sbin/iptables -A FORWARD -s 192.168.254.0/24 -j ACCEPT
/usr/sbin/iptables -A FORWARD -d 192.168.254.0/24 -j ACCEPT
Това последното също го имам под една или друга форма.
Поздрави,
-- Georgi Genov [EMAIL PROTECTED]
============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================