admw Posted November 27, 2012 Posted November 27, 2012 (edited) Помогите разобраться в правилах, из картинки видно http://s59.radikal.ru/i163/1211/d1/689d628f750f.jpg первые три правила должны пропускать трафик для 192.168.88.25 через себя, но как видно трафик идет через последнее правило которое надо отключить и вместо него запретить всем остальным. Так вот не пойму почему трафик не идет через первый правила. Edited November 27, 2012 by admw Вставить ник Quote
sexst Posted November 27, 2012 Posted November 27, 2012 Очевидно это трафик не ОТ 192.168.88.25 а К 192.168.88.25. Далее, если именно ПРОПУСКАТЬ трафик, то input и output явно лишние Вставить ник Quote
admw Posted November 27, 2012 Author Posted November 27, 2012 Очевидно это трафик не ОТ 192.168.88.25 а К 192.168.88.25. Далее, если именно ПРОПУСКАТЬ трафик, то input и output явно лишние Там и ОТ и К и общий трафик прописан разными правилами но через них не идет трафик Вставить ник Quote
sexst Posted November 27, 2012 Posted November 27, 2012 Вижу только от абонента. К абоненту не вижу, ткните носом. Вставить ник Quote
admw Posted November 28, 2012 Author Posted November 28, 2012 Вижу только от абонента. К абоненту не вижу, ткните носом. А первое и второе правило это разве не на входящий и исходящий трафик? Вставить ник Quote
sexst Posted November 28, 2012 Posted November 28, 2012 Нет. Первое - трафик адресованный роутеру от 192.168.88.25. Второе вообще бессмысленное, но у него и пакетов ноль. А третье - транзит, исходящий от хоста. Первые два в топку + добавить правило FORWARD с DST ADDRESS 192.168.88.25. man iptables вам в помощь=) Вставить ник Quote
admw Posted November 28, 2012 Author Posted November 28, 2012 Нет. Первое - трафик адресованный роутеру от 192.168.88.25. Второе вообще бессмысленное, но у него и пакетов ноль. А третье - транзит, исходящий от хоста. Первые два в топку + добавить правило FORWARD с DST ADDRESS 192.168.88.25. man iptables вам в помощь=) Спс за помощь! http://s47.radikal.ru/i116/1211/47/3fc3bea43282.jpg Ну вот вроде сделал как надо)) но через последнее правило все ровно идет какой то трафик, может еще что не так? И подскажите как правильно описать правило для запрета всем остальным. Вставить ник Quote
sexst Posted November 28, 2012 Posted November 28, 2012 На каждый хост нужно два правила на FORWARD. Одно с SRC ADDRESS, второе с DST ADDRESS. Далее. Если у вас много однотипных хостов, то лучше создать address list с этими хостами и сделать два правила для листа вместо отдельных каждому хосту. Чем больше правил, тем больше жрутся ресурсы. Вставить ник Quote
admw Posted November 28, 2012 Author Posted November 28, 2012 На каждый хост нужно два правила на FORWARD. Одно с SRC ADDRESS, второе с DST ADDRESS. Далее. Если у вас много однотипных хостов, то лучше создать address list с этими хостами и сделать два правила для листа вместо отдельных каждому хосту. Чем больше правил, тем больше жрутся ресурсы. Вот сделал как надо, практически весь трафик идет как надо. http://s018.radikal.ru/i503/1211/70/22ec42bba3ac.jpg Подскажите я правило для запрета остальным правильно создал? Вставить ник Quote
sexst Posted November 28, 2012 Posted November 28, 2012 Можно еще проще. Тупо выбрать цепочку Forward и указать drop. Адреса ни к чему. Вставить ник Quote
admw Posted November 29, 2012 Author Posted November 29, 2012 Спс за помощь, все работает. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.