[Alba]

хелп...

линукс с тремя интерфейсами

eth0 - инет

eth1 - локалка

eth2 - веб-сервера локалки

 

надо сделать, чтобы

некоторые из локалки ходили в инет через маскарад, на веб-сервера напрямую, а,

другие некоторые :) на веб-сервера ходили напрямую, а при попытке пойти в интернет роутер их редиректил на www-сервер линукса (допустим, на 81-й порт)

 

вопрос - КАК? я чё-то уже с iptables-ом запутался :(

[Артем B.M.]

в инет ip динамический или статический ?

[Alba]

в инет ip динамический или статический ?

статический...

Кстати, сорри, за немного неточную формулировку вопроса - надо чтобы не "другие некоторые", а "все остальные"...

это принципиально...

[f13]

1. нарисуй все на бумажке и подумай как пакеты ходить будут

2. прочитай http://iptables-tutorial.frozentux.net/ и настрой

[Гость]

iproute2 установлен?

[Alba]

1. нарисуй все на бумажке и подумай как пакеты ходить будут  

2. прочитай http://iptables-tutorial.frozentux.net/ и настрой

1. всё давно нарисовано...

2. читал... не с этого сайта, но, читал много чего...

 

iproute2 установлен?

установлен...

 

дело не в том, что я вообще не шарю, просто хочется сделать небольшую оптимизацию... до этого всё работало вот так:

сам знаю,что криво, но...

 

#ходим на сервера сети

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.1 -j DNAT --to 192.168.200.1; # dmz out

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.2 -j DNAT --to 192.168.200.2; # dmz pinger

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.3 -j DNAT --to 192.168.200.3; # dmz gora

iptables -t nat -p TCP -I PREROUTING -s 192.168.67.0/24 -d 192.168.200.4 -j DNAT --to 192.168.200.4; # dmz fileserv

 

# делаем редирект для юзеров с запрещённым доступом

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.2 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.3 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.4 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.5 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.6 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.7 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.8 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.9 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

iptables -t nat -p tcp -A PREROUTING -s 192.168.67.10 -d ! 80.237.7.67 --dport 80 -j DNAT --to 192.168.67.1;

 

# маскарад в интернет

iptables -t nat -A POSTROUTING -s 192.168.67.11 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.67.12 -j MASQUERADE

 

 

самая большая необходимость - это как-нибудь поставить редирект из PREROUTING самой последней цепочкой POSTROUTING, тогда отпадёт необходимость делать DNAT для серверов... да и не хочется каждый раз вытирать REDIRECT для каждого юзера локалки... хотелось-бы сделать для всех общее правило, которое действовало _после_ всех маскарадов...