Prerouting

Oqak node.ch na centrum.cz
Úterý Únor 7 06:56:04 CET 2006 

>> Ja ji cetl, muzete to tedy rozvest, kdyz tam dam
>>
>> iptables -A FORWARD -d cilova.ad.re.sa/maska -j ACCEPT
>                                         ^^^^^
>  Maska urcuje rozsah IP addries, presnejsie povedane urcuje pevne bity z
>  lavej strany a ostatne sa mozu menit. Dosledok: ak sa danych 20 IP

Dovolte upresnujici otazku, kdyz mam LAN sit
1.2.3.9/255.255.255.0, tak mohu legalne pracovat v iptables a obecne v TCPIP 
z takovouto syntaxi?

1.2.3.11/255.255.255.248? Melo by to teoreticky vymezit HostMin: 1.2.3.9 az 
HostMax: 1.2.3.14, otazka je, zda je to takto zapsane koser?

>  nachadza v hned za sebou, alebo v jednej spolocnej sieti tak s tym nie
>  je problem, v opacnom pripade moze pomoct script, priklad:
>
>    IP_ADRESY="192.168.1.1 192.168.2.1 ... 192.168.20.1"
>
>    for IP in $IP_ADRESY; do
>           iptables -A FORWARD -d $IP -j ACCEPT
>    done
>
>> tak to plati pro jednu cilovou a kdyz jich mam 20 tak musim napsat 20 
>> radek?
>
>  Ak sa nedaju vyjadrit neak redukovane tak ano.

Aha, to jsem chtel slyset. Vim ze tam jde nejak napsat rozsah portu od do.
No chtel jsem treba 1.2.3.5 az 1.2.3.9, na to ale masku nenapasuji, takze 
musim pouzit skutecne co povolena adresa to jeden radek (a ulehcit si to 
vasim skriptem, za nejz dekuji).

Proc mi nechodi toto?

iptables -t nat -A PREROUTING -s $IP -p all -j DROP
iptables -t nat -A PREROUTING -s $IP -p udp --destination-port 53 -d 
$BRANA -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -d $IP_ALLOW -j 
ACCEPT

BRANA je adresa kde bezi firewall s natem.
Nechodi kdyz to na zacatku takto dropnu (jinak chodi). Asi jsem neco 
nepochopil.

>> No ja mam jeste 20 source IP, na ostatnich chci povolit aby proslo VSE.
>>
>> Ja vim, ze bych si to mel nekde zkouset co to udela, no ale... asi budu
>> muset :(
>
>  Nejde o to skusat co to urobi, ale skusit zistit ako by sa to dalo. Je
>  slusnejsie sa pytat na pomoc a nie na riesenie problemu za mna.
>
>  Ja by som skusil presne popisat danu situaciu, ake riesenia ma
>  napadaju, co vsetko som studoval, k akemu zaveru som dosiel resp.
>  nedosiel a ziadal poradit. Je dolezite aby sa spomenuli tieto veci v
>  prvom maily a nie postupne. Ide o to aby ten kto radi vedel, ze jeho
>  rada padne na urodnu podu.

Dik, clovek se stale uci.

>    http://www.root.cz/clanky/vse-o-iptables-uvod/

To ctu, no jsem spise kovany na Windows, tam je filosofie ovladani uplne 
jina. Iptables je jen ovladani kernelu Linuxu a tedy zcela unikatni.

Další informace o konferenci Linux