Frozen Fido : RU.LINUX : Re: iptables and mac (?)

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : yx                                   2:5020/400     01 Apr 2001  07:38:06
 To : All
 Subject : Re: iptables and mac (?)
 --------------------------------------------------------------------------------

 Mike Kudritsky <vipkgos@glas.apc.org> wrote:
 
 > Исходные данные: есть сервер с интерфейсом (eth0) 1.2.3.4, смотрящим в
 > И-нет. Hа сервере еще есть интерфейс (eth1) 172.16.1.2, через который гуляют
 > в И-нет простые юзеры сетки 172.16.1.0. Хочется: разрешать ходить в И-нет
 > локальному юзеру 172.16.1.216 не только на основании его IP-адреса, но и на
 > основании mac адреса. Пытаюсь фильтровать пакеты прямо на входе:
 > 
 > #Отметаю всех претендентов погулять через сервер без особого на то
 > разрешения
 > iptables -t nat -P PREROUTING DROP
 > #Открывается входная дверь ресторана для клиента, если его IP=172.16.1.216 и
 > mac=00:01:02:03:04:05
 > iptables -t nat -A PREROUTING -s 172.16.1.216 -d ! 172.16.1.0/24 -i eth1 -j
 > ACCEPT -m mac --mac-source 00:01:02:03:04:05
 >
 
  - это не вход, а nat/PREROTING. То что хочешь зап-тся для filter/INPUT.
  - здесь отсечен и вход на свой серв.
 
 > #После того, как клиент попал в ресторан, ему на меню подается Интернет
 > iptables -t nat -A ROSTROUTING -s 172.16.1.216 -d ! 172.16.1.0/24 -o eth0 -j
 > SNAT --to-source 1.2.3.4
 > 
 >    Все было бы хорошо, но при этом внешние узлы только ping-уются (проходят
 > icmp пакеты). Остальное (ftp, http, etc) недоступно. Даже на собственном
 > сервере. Изредка удается после минутного ожидания попасть на внешние
 > ftp-сервера. Hо, будучи попав на внешний сервер, гуляешь по нему и качаешь
 > файлы резво, как со строчкой
 > iptables -t nat -P PREROUTING ACCERT
 >
 > Вопрос:
 >  что за тормоза и как с ними бороться?
 > 
 
  трудно и не нужно.
 
   mac
       This module must be explicitly specified with `-m mac' or
       `--match mac'. It is used for matching incoming packet's source
        Ethernet (MAC) address, and thus only useful for packets
        traversing the INPUT chain.
 
 bye.
 
 -- 
 Vladimir Yakovetsky
 --- ifmail v.2.15dev5
  * Origin: Disorganized yx's groupie (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
iptables and mac (?)	Mike Kudritsky	01 Apr 2001 00:19:16
Re: iptables and mac (?)	yx	01 Apr 2001 07:38:06

Архивное /ru.linux/13401f315ddd4.html, оценка 1 из 5, голосов 10