Prerouting
Libor Chocholaty
libor_ml1 na mts.cz
Úterý Únor 7 10:23:27 CET 2006
Oqak wrote:
>>> Ja ji cetl, muzete to tedy rozvest, kdyz tam dam
>>>
>>> iptables -A FORWARD -d cilova.ad.re.sa/maska -j ACCEPT
>>
>> ^^^^^
>> Maska urcuje rozsah IP addries, presnejsie povedane urcuje pevne bity z
>> lavej strany a ostatne sa mozu menit. Dosledok: ak sa danych 20 IP
>
>
> Dovolte upresnujici otazku, kdyz mam LAN sit
> 1.2.3.9/255.255.255.0, tak mohu legalne pracovat v iptables a obecne v
> TCPIP z takovouto syntaxi?
>
> 1.2.3.11/255.255.255.248? Melo by to teoreticky vymezit HostMin:
> 1.2.3.9 az HostMax: 1.2.3.14, otazka je, zda je to takto zapsane koser?
To nevim, ja pouzivam zapis 1.2.3.4/30 a to funguje.
>
>> nachadza v hned za sebou, alebo v jednej spolocnej sieti tak s tym nie
>> je problem, v opacnom pripade moze pomoct script, priklad:
>>
>> IP_ADRESY="192.168.1.1 192.168.2.1 ... 192.168.20.1"
>>
>> for IP in $IP_ADRESY; do
>> iptables -A FORWARD -d $IP -j ACCEPT
>> done
>>
>>> tak to plati pro jednu cilovou a kdyz jich mam 20 tak musim napsat
>>> 20 radek?
>>
>>
>> Ak sa nedaju vyjadrit neak redukovane tak ano.
>
>
> Aha, to jsem chtel slyset. Vim ze tam jde nejak napsat rozsah portu od
> do.
Jde vyjadrit i rozsah IP adres, viz prispevek nekde vyse.
> No chtel jsem treba 1.2.3.5 az 1.2.3.9, na to ale masku nenapasuji,
> takze musim pouzit skutecne co povolena adresa to jeden radek (a
> ulehcit si to vasim skriptem, za nejz dekuji).
>
> Proc mi nechodi toto?
>
> iptables -t nat -A PREROUTING -s $IP -p all -j DROP
> iptables -t nat -A PREROUTING -s $IP -p udp --destination-port 53 -d
> $BRANA -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp --destination-port 80 -d
> $IP_ALLOW -j ACCEPT
1. Co na tom nechodi?
2. Co mate v promenne IP?
3. Neni to proto, ze filtrovat byste mel v tabulce filter (=vyhodit
-t nat)?
4. Pripadne neni problem s tim, ze v tabulce nat (Network Address
Translation) v prerouting lze matchovat jen destination?
5. Co to pise za hlasku?
>
> BRANA je adresa kde bezi firewall s natem.
> Nechodi kdyz to na zacatku takto dropnu (jinak chodi). Asi jsem neco
> nepochopil.
Aha, takze to chodi. :-) Vypada to, ze prvni pravidlo vam sezere pakety,
ktere pak chcete povolit. Protokol IP je totiz nadmnozina TCP i UDP.
Takze prvni pravidlo musite dat az na konec.
>> http://www.root.cz/clanky/vse-o-iptables-uvod/
>
>
> To ctu, no jsem spise kovany na Windows, tam je filosofie ovladani
> uplne jina. Iptables je jen ovladani kernelu Linuxu a tedy zcela
> unikatni.
A jak se to dela ve Windows? Tam taky budete mit nejakou userspace
utilitku, ktera vam dela interface do kernelu. Myslim, ze se jmenuje
netsh, ne?
Libor
Další informace o konferenci Linux