On Wed, Jan 04, 2006 at 07:31:57PM +0300 Anton Gorlov wrote:
> Maxim Bodyansky пишет:
>
> >>Проще говря..в правилах для маскарадинга нужно как-то отрезать
> >>dst=локальным подсеткам.
> >Можно вовсе не трогать маскардинг, заперев врата в FORWARD'е.
>
> Тоже вариант.. но при этом в инет им должно быть можно всё..а в
> локальные подсетки не дальше роутера. Локальных подсеток больше 4...
Если не охота руками формировать правила, почему бы не поручить это
грязное дело роботу? Как, например, в приложеном скрипте.
--
WBR,
Maxim Bodyansky
#!/bin/sh
PRIVATE_NETWORK="10.0.5.0/24"
LOCAL_NETWORKS="
10.0.1.0/24
10.0.2.0/24
10.0.3.0/24
10.0.4.0/24
"
IPT="echo"
# В локальные сетки не дальше роутера
for lnet in $LOCAL_NETWORKS; do
$IPT -A FORWARD -s $PRIVATE_NETWORK -d $lnet -j DROP
$IPT -A FORWARD -d $PRIVATE_NETWORK -s $lnet -j DROP
done
# В остальные можно всё
$IPT -A FORWARD -s $PRIVATE_NETWORK -j ACCEPT
$IPT -A FORWARD -d $PRIVATE_NETWORK -j ACCEPT
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins
