Здравствуйте, Anton. Вы писали 4 января 2006 г., 18:30:31:
>>>Проще говря..в правилах для маскарадинга нужно как-то отрезать >>>dst=локальным подсеткам. >> А у Вас случаем не отдельный интерфейс в интернет торчит? AG> Конечно отдельный. >> Тогда можно >> iptables -t nat -A POSTROUTING -o INET_IFACE -j MASQUERADE AG> Так маскарадится ещё и кое-что в пределах локальных подсеток. И чем это правило с этой точки зрения неправильно? IMHO, достаточно внимательно прочитать Iptables Tutorial http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html и написать что-то типа: $IPTABLES -t filter -A FORWARD -i $IF_LAN -o $IF_INET -j ACCEPT $IPTABLES -t filter -A FORWARD -i $IF_INET -o $IF_LAN -j ACCEPT $IPTABLES -t filter -A FORWARD -i $IF_LAN -j DROP $IPTABLES -t filter -A INPUT -i $IF_LAN -j ACCEPT $IPTABLES -t filter -A OUTPUT -o $IF_LAN -j ACCEPT и как сказали выше $IPTABLES -t nat -A POSTROUTING -o $IF_INET -j MASQUERADE IMHO, это правило будет применятся для всех пакетов, маршрутизируемых на $IF_INET, в том числе и из других подсетей. -- С уважением, Dank _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
