ipchains a forward

Michal Krause michal na krause.cz
Úterý Květen 1 19:18:01 CEST 2001


On 01/05/2001, Pavel Trefny wrote:

> Zdravim,
> snazim se omezit pocitac ve vnitrni siti aby nemohl nikam jinam nez do
> vnitrni site. Site jsou dve a to je, ten problem. Pokud to na routeru
> zapisu takhle :
>
> /sbin/ipchains -I forward -d ! 192.168.36.0/24 -s 192.168.36.26 -j REJECT -l
> /sbin/ipchains -I forward -d ! 192.168.33.0/24 -s 192.168.36.26 -j REJECT -l
>
> tak nefunguje vubec nic asi se ty dve pravidla ovlivnuji

To je prece jasne. Kdyz bude cilovy pocitac mit adresu v siti 192.168.36.0,
tak ten paket zahodi druhe pravidlo a kdyz to bude v 192.168.33.0, tak
jej zase zahodi pravidlo prvni.

> Jak mam ty dve pravidla zapsat aby se neovlivnovala ?

Musis obratit logiku - nikoliv povolit vse a pak zakazovat, ale naopak
vse zakazat a pak povolovat. IMHO by melo fungovat tohle:

/sbin/ipchains -I forward -d 192.168.36.0/24 -s 192.168.36.26 -j ACCEPT
/sbin/ipchains -I forward -d 192.168.33.0/24 -s 192.168.36.26 -j ACCEPT
/sbin/ipchains -I forward -s 192.168.36.26 -j REJECT -l

S pozdravem
-- 
Michal Krause                                                       /\
ICQ: 7665279            Informace (nejenom) ze sveta Linuxu      /\/  \
email: michal na krause.cz _______ http://www.root.cz/ _______ NAVRCHOLU.cz

Vseci by chceli byt van Goghmi, ale odrezat si ucho ani jeden.
                                                  J. Raz ve filmu Rabaka


Další informace o konferenci Linux