neposlusny source routing

David Fabel david.fabel na sudop.cz
Pondělí Prosinec 22 14:16:32 CET 2003


OK, tak jeste jeden pokus a pak uz budu mlcet:

Nedelat nic s routovacimi tabulkami, nepouzivat markovani,
# zakazat forward i input
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# provest zamenu v ochozich paketech
-A POSTROUTING -s 10.64.2.0/255.240.7.0 -j SNAT --to-source 10.1.9.20

# zbytek za maskaradu nebo nejaky jiny Vamy vybrany postup
-A POSTROUTING -o eth1 -j MASQUERADE

# zavest forward pro vami vybrany segment
-A FORWARD -s 10.64.2.0/255.240.7.0 -i eth2 -o eth0 -j ACCEPT

# povolit forward komunikace co prichazi z jiz navazaneho spojeni
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Zvlaste ten konec by pro Vas mohl byt zajimavy. Vse plati jen tehdy, pokud 
nevyzadujete moznost navazovani pozadavku z venci k Vam.
D.

> ja vam rozumiem. to iste mam nahodene na niekolkych desiatkach routerov
> a chodi to okey. co som sa snazil povedat je to, ze ak mate staticku
> IP adresu, je lepsie pouzit SNAT ako MASQUERADE, pretoze vysledok je presne
> ten isty s nizsou reziou. MASQ sa pouzival u jadier 2.2, pri 2.4 sa to
> podelilo na SNAT a MASQUERADE a kazdy je odporucany na nieco - SNAT na
> pevne IP, MASQUERADE na dynamicke ip, napriklad dial-up.
>
> moj problem je vsak podstatne odlisny - nemam jedneho providera, ale dvoch.
> voci ISP1 to prekladam tak ako vy vo firme, to mi chodi. a niektorych ludi
> z vnutornej siete potrebujem prekladat za ip-cky druheho providera a
> routovat cez neho. a nie vsetkych userov za jednu ip-cku, co robi
> MASQERADE, ale kazdeho usera za jednu providerovu ip-cku. problem daleko
> zamotanejsi. masquerade to urcite neriesi. kazdopadne vam dakujem za snahu,



Další informace o konferenci Linux