 |
|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Mike Kudritsky 2:5020/400 01 Apr 2001 00:19:16 To : All Subject : iptables and mac (?) --------------------------------------------------------------------------------
Привет, ребята!
Что-то не пойму, где собака зарыта с сабжем.
Исходные данные: есть сервер с интерфейсом (eth0) 1.2.3.4, смотрящим в
И-нет. Hа сервере еще есть интерфейс (eth1) 172.16.1.2, через который гуляют
в И-нет простые юзеры сетки 172.16.1.0. Хочется: разрешать ходить в И-нет
локальному юзеру 172.16.1.216 не только на основании его IP-адреса, но и на
основании mac адреса. Пытаюсь фильтровать пакеты прямо на входе:
#Отметаю всех претендентов погулять через сервер без особого на то
разрешения
iptables -t nat -P PREROUTING DROP
#Открывается входная дверь ресторана для клиента, если его IP=172.16.1.216 и
mac=00:01:02:03:04:05
iptables -t nat -A PREROUTING -s 172.16.1.216 -d ! 172.16.1.0/24 -i eth1 -j
ACCEPT \
-m mac --mac-source 00:01:02:03:04:05
#После того, как клиент попал в ресторан, ему на меню подается Интернет
iptables -t nat -A ROSTROUTING -s 172.16.1.216 -d ! 172.16.1.0/24 -o eth0 -j
SNAT --to-source 1.2.3.4
Все было бы хорошо, но при этом внешние узлы только ping-уются (проходят
icmp пакеты). Остальное (ftp, http, etc) недоступно. Даже на собственном
сервере. Изредка удается после минутного ожидания попасть на внешние
ftp-сервера. Hо, будучи попав на внешний сервер, гуляешь по нему и качаешь
файлы резво, как со строчкой
iptables -t nat -P PREROUTING ACCERT
Вопрос: что за тормоза и как с ними бороться?
С уважением, Mike Kudritsky.
--- ifmail v.2.15dev5
* Origin: COMSTAR Telecommunications (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/1216855b3f761.html, оценка из 5, голосов 10
|
|
|