RH + ipchains

[Petr Novotny]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 23 Jan 00, at 12:27, Roman Hejl wrote:
> Vse funguje OK. Nyni bych chtel pripojit i druhy segment na Internet
> pres eth2 tak,aby uzivatele mohli jen na internet a ne do druheho
> segmentu (na eth0).
> 
> Je mozne toto reseni ?
> ipchains -A forward DENY
> ipchains -A forward -s 10.1.0.0/16 -d 195.70.149.160/255.255.255.252
> -j MASQ ipchains -A forward -s 10.2.0.0/16 -d
> 195.70.149.160/255.255.255.252 -j MASQ

To bude delat neco jineho, nez chcete: Povoli to ze segmentu 1 i 2 
pristup na router (a nikam jinam). Spravne je to zhruba takto (s 
ipfwadm - do ipchains si to prepiste) (upozorneni! zkontrolujte si to 
nejdriv, nez to slepe prepisete!)

ipfwadm -F -p deny #default policy
ipfwadm -F -a accept -S 10.1.0.0/16 -D 10.2.0.0/16 deny   #nebo 
reject
ipfwadm -F -a accept -S 10.2.0.0/16 -D 10.2.0.0/16 deny   #nebo 
reject
ipfwadm -F -a accept -m -S 10.1.0.0/16
ipfwadm -F -a accept -m -S 10.2.0.0/16

Vysvetleni: Pravidla se probiraji od pocatku do konce, dokud se 
nenarazi na prvni vyhovujici. Takze pro paket mezi 10.1.x.x a 
10.2.x.x se nejdriv narazi na pravidlo, ktere forward zakazuje, a 
hotovo. Pro paket z 10.1.x.x do sveta se narazi az na 
maskaradovaci pravidlo, a paket projde.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOIr2ZlMwP8g7qbw/EQLk1QCfaqzCLWlRsO1D3WWrF5ZwUHVuA2gAn2tX
SSOUPbk0AhJp2lGDG1iDlCaD
=ojw2
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]