Alone_Jedi Posted August 25, 2003 Posted August 25, 2003 Люди,подскажите по такому вопросу: нужно отдельно обсчитывать на каждого пользователя внутригородской траффик и мировойю Я пробовал сделать так: iptables -N gorod iptables -A FORWARD -i eth1 -o eth0 -d 192.168.101.78 -j gorod iptables -A FORWARD -i eth1 -o eth0 -d 192.168.101.78 -j ACCEPT iptables -A gorod -s 217.25.80.0/24 -j ACCEPT iptables -A gorod -s 217.25.81.0/24 -j ACCEPT ну и т.д. Все это при условии,что eth1 - интернет-интерфейс, eth0 -внутрисетевой интерфейс,а 192.168.101.78 - клиентский ip внутри сети. Что тут не так и как сделать правильно? Подскажите,плиз! Заранее благодарен! Вставить ник Quote
woronin Posted September 1, 2003 Posted September 1, 2003 -A forward -s 210.210.208.0/24 -d 80.252.137.220 -j fwd208 -A forward -s 210.210.208.0/24 -d 80.252.137.220 -j DENY У нас воттак в ipchains-ax Вставить ник Quote
Disk Posted September 1, 2003 Posted September 1, 2003 iptables -A FORWARD -i eth1 -o eth0 -d 192.168.101.78 -j gorodiptables -A FORWARD -i eth1 -o eth0 -d 192.168.101.78 -j ACCEPT Второе правило перекрывает первое. Вставить ник Quote
Mif Posted September 3, 2003 Posted September 3, 2003 Alone_Jedi, у мя прим такая же фигня:-) ток мне надо отделить 4 локальных подсети от инета я сделал так: # ! /bin/bash iptables -N local iptables -N inet_in iptables -N inet_out loc_net=172.22.23.0/16 xnet1=172.16.0.0/16 xnet2=172.19.0.0/24 xnet3=172.21.0.0/16 xnet4=192.168.0.0/24 iptables -A FORWARD -s $xnet1 -d $xnet1 -j local iptables -A FORWARD -s $xnet1 -d $xnet2 -j local iptables -A FORWARD -s $xnet1 -d $xnet3 -j local iptables -A FORWARD -s $xnet1 -d $loc_net -j local iptables -A FORWARD -s $xnet1 -d $xnet4 -j local iptables -A FORWARD -s $xnet2 -d $xnet1 -j local iptables -A FORWARD -s $xnet2 -d $xnet2 -j local iptables -A FORWARD -s $xnet2 -d $xnet3 -j local iptables -A FORWARD -s $xnet2 -d $loc_net -j local iptables -A FORWARD -s $xnet2 -d $xnet4 -j local iptables -A FORWARD -s $xnet3 -d $xnet1 -j local iptables -A FORWARD -s $xnet3 -d $xnet2 -j local iptables -A FORWARD -s $xnet3 -d $xnet3 -j local iptables -A FORWARD -s $xnet3 -d $loc_net -j local iptables -A FORWARD -s $xnet3 -d $xnet4 -j local iptables -A FORWARD -s $loc_net -d $xnet1 -j local iptables -A FORWARD -s $loc_net -d $xnet2 -j local iptables -A FORWARD -s $loc_net -d $xnet3 -j local iptables -A FORWARD -s $loc_net -d $loc_net -j local iptables -A FORWARD -s $loc_net -d $xnet4 -j local iptables -A FORWARD -s $xnet4 -d $xnet1 -j local iptables -A FORWARD -s $xnet4 -d $xnet2 -j local iptables -A FORWARD -s $xnet4 -d $xnet3 -j local iptables -A FORWARD -s $xnet4 -d $loc_net -j local iptables -A FORWARD -s $xnet4 -d $xnet4 -j local iptables -A FORWARD -s $loc_net -d ! $xnet1 -j LOG --log-prefix "inet_out 1" --log-level info iptables -A FORWARD -s $loc_net -d ! $xnet2 -j LOG --log-prefix "inet_out 2" --log-level info iptables -A FORWARD -s $loc_net -d ! $xnet3 -j LOG --log-prefix "inet_out 3" --log-level info iptables -A FORWARD -s $loc_net -d ! $loc_net -j LOG --log-prefix "inet_out 4" --log-level info iptables -A FORWARD -s $loc_net -d ! $xnet4 -j LOG --log-prefix "inet_out 5" --log-level info iptables -A FORWARD -s ! $xnet1 -d $loc_net -j LOG --log-prefix "inet_in 1" --log-level info iptables -A FORWARD -s ! $xnet2 -d $loc_net -j LOG --log-prefix "inet_in 2" --log-level info iptables -A FORWARD -s ! $xnet3 -d $loc_net -j LOG --log-prefix "inet_in 3" --log-level info iptables -A FORWARD -s ! $loc_net -d $loc_net -j LOG --log-prefix "inet_in 4" --log-level info iptables -A FORWARD -s ! $xnet4 -d $loc_net -j LOG --log-prefix "inet_in 5" --log-level info iptables -A FORWARD -s $loc_net -d ! $xnet1 -j inet_out iptables -A FORWARD -s $loc_net -d ! $xnet2 -j inet_out iptables -A FORWARD -s $loc_net -d ! $xnet3 -j inet_out iptables -A FORWARD -s $loc_net -d ! $loc_net -j inet_out iptables -A FORWARD -s $loc_net -d ! $xnet4 -j inet_out iptables -A FORWARD -s ! $xnet1 -d $loc_net -j inet_in iptables -A FORWARD -s ! $xnet2 -d $loc_net -j inet_in iptables -A FORWARD -s ! $xnet3 -d $loc_net -j inet_in iptables -A FORWARD -s ! $loc_net -d $loc_net -j inet_in iptables -A FORWARD -s ! $xnet4 -d $loc_net -j inet_in iptables -A inet_in -d 172.22.23.2 -j ACCEPT iptables -A inet_in -d 172.22.23.11 -j ACCEPT iptables -A inet_in -d 172.22.23.12 -j ACCEPT iptables -A inet_in -d 172.22.23.13 -j ACCEPT iptables -A inet_in -d 172.22.23.14 -j ACCEPT iptables -A inet_in -d 172.22.23.15 -j ACCEPT iptables -A inet_in -d 172.22.23.16 -j ACCEPT iptables -A inet_in -d 172.22.23.17 -j ACCEPT iptables -A inet_in -d 172.22.23.18 -j ACCEPT iptables -A inet_in -d 172.22.23.19 -j ACCEPT iptables -A inet_in -d 172.22.23.20 -j ACCEPT iptables -A inet_in -d 172.22.23.21 -j ACCEPT iptables -A inet_in -d 172.22.23.22 -j ACCEPT iptables -A inet_in -d 172.22.23.23 -j ACCEPT iptables -A inet_in -d 172.22.23.24 -j ACCEPT iptables -A inet_in -d 172.22.23.25 -j ACCEPT iptables -A inet_in -d 172.22.23.26 -j ACCEPT iptables -A inet_in -d 172.22.23.27 -j ACCEPT iptables -A inet_in -d 172.22.23.28 -j ACCEPT iptables -A inet_in -d 172.22.23.29 -j ACCEPT iptables -A inet_in -d 172.22.23.30 -j ACCEPT iptables -A inet_in -d 172.22.23.31 -j ACCEPT iptables -A inet_in -d 172.22.23.32 -j ACCEPT iptables -A inet_in -d 172.22.23.33 -j ACCEPT iptables -A inet_out -s 172.22.23.2 -j ACCEPT iptables -A inet_out -s 172.22.23.11 -j ACCEPT iptables -A inet_out -s 172.22.23.12 -j ACCEPT iptables -A inet_out -s 172.22.23.13 -j ACCEPT iptables -A inet_out -s 172.22.23.14 -j ACCEPT iptables -A inet_out -s 172.22.23.15 -j ACCEPT iptables -A inet_out -s 172.22.23.16 -j ACCEPT iptables -A inet_out -s 172.22.23.17 -j ACCEPT iptables -A inet_out -s 172.22.23.18 -j ACCEPT iptables -A inet_out -s 172.22.23.19 -j ACCEPT iptables -A inet_out -s 172.22.23.20 -j ACCEPT iptables -A inet_out -s 172.22.23.21 -j ACCEPT iptables -A inet_out -s 172.22.23.22 -j ACCEPT iptables -A inet_out -s 172.22.23.23 -j ACCEPT iptables -A inet_out -s 172.22.23.24 -j ACCEPT iptables -A inet_out -s 172.22.23.25 -j ACCEPT iptables -A inet_out -s 172.22.23.26 -j ACCEPT iptables -A inet_out -s 172.22.23.27 -j ACCEPT iptables -A inet_out -s 172.22.23.28 -j ACCEPT iptables -A inet_out -s 172.22.23.29 -j ACCEPT iptables -A inet_out -s 172.22.23.30 -j ACCEPT iptables -A inet_out -s 172.22.23.31 -j ACCEPT iptables -A inet_out -s 172.22.23.32 -j ACCEPT iptables -A inet_out -s 172.22.23.33 -j ACCEPT i=11 al=33 while [ $i -le $al ] do iptables -A local -d 172.22.23.$i -j ACCEPT i=`expr $i + 1` done i=11 al=33 while [ $i -le $al ] do iptables -A local -s 172.22.23.$i -j ACCEPT i=`expr $i + 1` done #done правда тут замечена ошибка... хотя сеть 172.19.0.0 и с 24 маской но по ней трафик не идет пока маску не изменишь на 16... на компе стоит один сетевой интерфейс, на него подвешено несколько ипов... тестикл логами всё пучком в инет трафик локальный не лезет.... инет можно собирать из соответвующей цепочки.. блокировать инет можно в инет аут... цепочки с логами можно и не вносить это я так для теста.. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.