iptables a dva rozsahy sítí

[Milan Kocian]

On Mon, Jul 28, 2008 at 02:46:35PM +0200, Tomáš Koželuh wrote:
> Tak bych měl ještě jeden dotaz, na kterej jsem nenašel nějakou rozumnou
> odpověď. Potřebuju přesměrovat komunikaci na jinej port, ale je třeba tam
> mít výjimku na dva rozsahy IP adres. Co jsem všechno zkoušel, tak se
> nezadařilo a vždycky to vzalo pouze jeden rozsah. Když přidám druhý
> pravidlo, tak je to na nic, protože se logicky řídí už tím prvním.
> Pro jistotu přidávám, jak to teď vypadá:
> iptables -I PREROUTING -t nat -i $lan -p tcp -d ! 1.2.0.0/16 --dport 1234 -j
> DNAT --to 1.2.3.4:4321
> a ještě k tomu potřebuju přidat ! 5.6.0.0/16, ale k ničemu jsem se
> nedopracoval. Netušíte někdo, co na to použít? Předem díky...
> 
 
Nejdriv to omarkovat a pak ten mark pouzit v DNATu ?

neco jako:

iptables -A PREROUTING -t mangle -i $lan -p tcp -d 1.2.0.0/16 --dport 1234 
-j MARK 0xaaa
iptables -A PREROUTING -t mangle -i $lan -p tcp -d 5.6.0.0/16 --dport 1234   
-j MARK 0xaaa
iptables -A PREROUTING -t nat -m mark ! 0xaaa -j DNAT --to 1.2.3.4:4321

NOT TESTED !!!

-- 
Milan Kocian