URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97069
[ Назад ]

Исходное сообщение
"iptables nat исключение"
Отправлено cant , 06-Дек-17 15:21

Как в NAT iptables сделать исключение.
То есть чтобы транслировались все пакеты летящие в публичный мир, но кроме тех которые летят на мои же белые адреса в моей же сети. Связность между ними и так есть, и натить их не надо.
типа чтоб логика была такая:
-A POSTROUTING -s 192.168.0.0/16 -d 99.88.64.0.0/19 -j SNAT <pass skip w/o nat>
-A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j SNAT --to-source 99.88.77.66

Содержание

iptables nat исключение,fantom, 15:39 , 06-Дек-17
- iptables nat исключение,cant, 16:43 , 06-Дек-17
  - iptables nat исключение,fantom, 17:36 , 06-Дек-17
    - iptables nat исключение,Аноним, 02:32 , 07-Дек-17
iptables nat исключение,Аноним, 15:49 , 06-Дек-17
- iptables nat исключение,cant, 16:45 , 06-Дек-17

Сообщения в этом обсуждении

"iptables nat исключение"
Отправлено fantom , 06-Дек-17 15:39

> Как в NAT iptables сделать исключение.
> То есть чтобы транслировались все пакеты летящие в публичный мир, но кроме
> тех которые летят на мои же белые адреса в моей же
> сети. Связность между ними и так есть, и натить их не
> надо.
> типа чтоб логика была такая:
> -A POSTROUTING -s 192.168.0.0/16 -d 99.88.64.0.0/19 -j SNAT <pass skip w/o nat>
> -A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j SNAT --to-source 99.88.77.66
Вы же сами и ответили:
-A POSTROUTING -s 192.168.0.0/16 -d 99.88.64.0.0/19 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j SNAT --to-source 99.88.77.66

"iptables nat исключение"
Отправлено cant , 06-Дек-17 16:43

>> типа чтоб логика была такая:
>> -A POSTROUTING -s 192.168.0.0/16 -d 99.88.64.0.0/19 -j SNAT <pass skip w/o nat>
>> -A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j SNAT --to-source 99.88.77.66
> Вы же сами и ответили:
> -A POSTROUTING -s 192.168.0.0/16 -d 99.88.64.0.0/19 -j ACCEPT
> -A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j SNAT --to-source 99.88.77.66
А что так можно было? :))
Спасибо!

"iptables nat исключение"
Отправлено fantom , 06-Дек-17 17:36

>>> типа чтоб логика была такая:
>>> -A POSTROUTING -s 192.168.0.0/16 -d 99.88.64.0.0/19 -j SNAT <pass skip w/o nat>
>>> -A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j SNAT --to-source 99.88.77.66
>> Вы же сами и ответили:
>> -A POSTROUTING -s 192.168.0.0/16 -d 99.88.64.0.0/19 -j ACCEPT
>> -A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j SNAT --to-source 99.88.77.66
> А что так можно было? :))
> Спасибо!
Таки учить матчасть никогда не вредно :)
Эсть в етом мире почти вечные ценности и это
https://www.opennet.me/docs/RUS/iptables/
одна из них
:)

"iptables nat исключение"
Отправлено Аноним , 07-Дек-17 02:32

> Эсть в етом мире почти вечные ценности
есть в этом мире - это вечная ценность!! ☺☺

"iptables nat исключение"
Отправлено Аноним , 06-Дек-17 15:49

Обычно натят всё что на внешний интерфейс уходит, а не по IP-адресам:
-A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to-source 99.88.77.66
Тогда и исключений не потребуется

"iptables nat исключение"
Отправлено cant , 06-Дек-17 16:45

> Обычно натят всё что на внешний интерфейс уходит, а не по IP-адресам:
> -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to-source 99.88.77.66
> Тогда и исключений не потребуется
Это да. Но за внешним интерфейсом сначала моя белая сеть, а уже потом мир.