|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexander Davydenko 2:5020/400 08 Jan 2004 21:00:50
To : Ruslan Fedoseev
Subject : Re: блокировка NAT
--------------------------------------------------------------------------------
2004-01-08, Ruslan Fedoseev <Ruslan.Fedoseev@f74.n4615.z2.fidonet.org> пишет:
> Serg Oskin wrote:
>
>> С помощью iptables ... FORWARD ... -j REJECT
>> Hапример сначала все скофигурить с помощью твоих "iptables -A",
>> вкючать так:
>> iptables -D FORWARD -d 192.168.0.8 -s 0/0 -j REJECT
>> а выключать так:
>> iptables -I FORWARD -d 192.168.0.8 -s 0/0 -j REJECT
>
> Hе поможет. Так как на текущее соединение разрешение на маскарад уже
> получено. В доке же написано - в цепочку попадают только пакеты иницирующие
> соединения...
> У меня работает примерно такая же схема, только клиента еще и не по default
> route обычно маскарадит (Hа спутник)... Поэтому у мемня еще присутствуют ip
> rule add....
> И в конце ip route flush cache
> После этого соединение реально обрывается...
>
imho, лучше оставить filter rules настроенными один раз по подходящим правилам,
а доступ прикрывать через таблицы маршрутеризации. Сделать что-то типа:
ip ru add to 192.168.0.0/24 pref 100 table 100
и при необходимости блокирования выполнять:
ip ro add blackhole 192.168.0.8/32 table 100 scope global
ip ro flush cache
ну и vise versa.
--
Удачи,
Александр
--- ifmail v.2.15dev5.1
* Origin: Topcon Positioning Systems CIS, LLC (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: блокировка NAT |
Alexander Davydenko |
08 Jan 2004 21:00:50 |
|
|
