разрешения в iptables для выхода в интернет [SOLVED]
beba 15 февраля, 2011 - 14:22
Здравствуйте.
Раньше была такая схема работы.
сервер удаленный (впн сервер) - сервер локальный (впн клиент) - локальная сеть
на сервере локальном прописывал правила:
$iptables -t nat -A POSTROUTING -s X.X.X.X -j SNAT --to-source 10.10.0.1
где X.X.X.X это клиент локальной сети, которому разрешал выход в интернет
а 10.10.0.1 это впн сервер
сейчас на новом объекте собираются пользоваться своим интернетом.. но ограничение пользователей должно оставаться..
локально на сервере на новом объекте нет выделенного ип адреса.. поэтому как я понимаю правило вышеуказанного типа здесь не подойдет (или ошибаюсь ??)
как вариант ставить прокси.. но хотелось правилом ограничить как нибудь..
спасибо
»
- Для комментирования войдите или зарегистрируйтесь
У вас никаких ограничений
У вас никаких ограничений нет, правило которое вы привели это NAT, 10.10.0.1 надо поменять на новый ИП адрес, который вам даст провайдер.
Если ИП адреса выдаются по DHCP, и периодически меняются, воспользуйтесь маскарадингом.
...
я пользуюсь маскарадингам сейчас, и интернет раздается..
а можно в маскарадинге указывать опцию "-s" ?
Можно! :)
Можно! :)
.
Если у вас много клиентов - пользуйте
net-firewall/ipsetилиnet-firewall/xtables-addons- ipset там имеется тоже.Про сервер, SNAT - не совсем понял, что Вы имели ввиду.
Из личного опыта:
в "нашей" сетке тырнет раздаётся путём pptp+динамический адрес,
что однако не мешает мне пользовать
SNAT --to-source ${ExIp}длявторого "ящика"... И ipset - тоже :D
ExIp находится элементарно (в моём случае):
ExIp="`/sbin/ip -4 route show dev ${ExtIf} | /bin/awk '{print $7}'`"огромное спасибо
супер, то что мне нужно..
спасибо большое!
Не забываем о
Не забываем о MASQUERADE:
iptables -t nat -A POSTROUTING -o xxxX -j MASQUERADEХотя случаи разные бывают.
Справедливость восторжествует.