Prerouting

Libor Chocholaty libor_ml1 na mts.cz
Úterý Únor 7 10:23:27 CET 2006 

Oqak wrote:

>>> Ja ji cetl, muzete to tedy rozvest, kdyz tam dam
>>>
>>> iptables -A FORWARD -d cilova.ad.re.sa/maska -j ACCEPT
>>
>>                                         ^^^^^
>>  Maska urcuje rozsah IP addries, presnejsie povedane urcuje pevne bity z
>>  lavej strany a ostatne sa mozu menit. Dosledok: ak sa danych 20 IP
>
>
> Dovolte upresnujici otazku, kdyz mam LAN sit
> 1.2.3.9/255.255.255.0, tak mohu legalne pracovat v iptables a obecne v 
> TCPIP z takovouto syntaxi?
>
> 1.2.3.11/255.255.255.248? Melo by to teoreticky vymezit HostMin: 
> 1.2.3.9 az HostMax: 1.2.3.14, otazka je, zda je to takto zapsane koser?

To nevim, ja pouzivam zapis 1.2.3.4/30 a to funguje.

>
>>  nachadza v hned za sebou, alebo v jednej spolocnej sieti tak s tym nie
>>  je problem, v opacnom pripade moze pomoct script, priklad:
>>
>>    IP_ADRESY="192.168.1.1 192.168.2.1 ... 192.168.20.1"
>>
>>    for IP in $IP_ADRESY; do
>>           iptables -A FORWARD -d $IP -j ACCEPT
>>    done
>>
>>> tak to plati pro jednu cilovou a kdyz jich mam 20 tak musim napsat 
>>> 20 radek?
>>
>>
>>  Ak sa nedaju vyjadrit neak redukovane tak ano.
>
>
> Aha, to jsem chtel slyset. Vim ze tam jde nejak napsat rozsah portu od 
> do.

Jde vyjadrit i rozsah IP adres, viz prispevek nekde vyse.

> No chtel jsem treba 1.2.3.5 az 1.2.3.9, na to ale masku nenapasuji, 
> takze musim pouzit skutecne co povolena adresa to jeden radek (a 
> ulehcit si to vasim skriptem, za nejz dekuji).
>
> Proc mi nechodi toto?
>
> iptables -t nat -A PREROUTING -s $IP -p all -j DROP
> iptables -t nat -A PREROUTING -s $IP -p udp --destination-port 53 -d 
> $BRANA -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp --destination-port 80 -d 
> $IP_ALLOW -j ACCEPT

   1. Co na tom nechodi?
   2. Co mate v promenne IP?
   3. Neni to proto, ze filtrovat byste mel v tabulce filter (=vyhodit
      -t nat)?
   4. Pripadne neni problem s tim, ze v tabulce nat (Network Address
      Translation) v prerouting lze matchovat jen destination?
   5. Co to pise za hlasku?

>
> BRANA je adresa kde bezi firewall s natem.
> Nechodi kdyz to na zacatku takto dropnu (jinak chodi). Asi jsem neco 
> nepochopil.

Aha, takze to chodi. :-) Vypada to, ze prvni pravidlo vam sezere pakety, 
ktere pak chcete povolit. Protokol IP je totiz nadmnozina TCP i UDP. 
Takze prvni pravidlo musite dat az na konec.

>>    http://www.root.cz/clanky/vse-o-iptables-uvod/
>
>
> To ctu, no jsem spise kovany na Windows, tam je filosofie ovladani 
> uplne jina. Iptables je jen ovladani kernelu Linuxu a tedy zcela 
> unikatni.

A jak se to dela ve Windows? Tam taky budete mit nejakou userspace 
utilitku, ktera vam dela interface do kernelu. Myslim, ze se jmenuje 
netsh, ne?

Libor

Další informace o konferenci Linux