admw Posted November 27, 2012 (edited) Помогите разобраться в правилах, из картинки видно http://s59.radikal.ru/i163/1211/d1/689d628f750f.jpg первые три правила должны пропускать трафик для 192.168.88.25 через себя, но как видно трафик идет через последнее правило которое надо отключить и вместо него запретить всем остальным. Так вот не пойму почему трафик не идет через первый правила. Edited November 27, 2012 by admw Share this post Link to post Share on other sites More sharing options...
sexst Posted November 27, 2012 Очевидно это трафик не ОТ 192.168.88.25 а К 192.168.88.25. Далее, если именно ПРОПУСКАТЬ трафик, то input и output явно лишние Share this post Link to post Share on other sites More sharing options...
admw Posted November 27, 2012 Очевидно это трафик не ОТ 192.168.88.25 а К 192.168.88.25. Далее, если именно ПРОПУСКАТЬ трафик, то input и output явно лишние Там и ОТ и К и общий трафик прописан разными правилами но через них не идет трафик Share this post Link to post Share on other sites More sharing options...
sexst Posted November 27, 2012 Вижу только от абонента. К абоненту не вижу, ткните носом. Share this post Link to post Share on other sites More sharing options...
admw Posted November 28, 2012 Вижу только от абонента. К абоненту не вижу, ткните носом. А первое и второе правило это разве не на входящий и исходящий трафик? Share this post Link to post Share on other sites More sharing options...
sexst Posted November 28, 2012 Нет. Первое - трафик адресованный роутеру от 192.168.88.25. Второе вообще бессмысленное, но у него и пакетов ноль. А третье - транзит, исходящий от хоста. Первые два в топку + добавить правило FORWARD с DST ADDRESS 192.168.88.25. man iptables вам в помощь=) Share this post Link to post Share on other sites More sharing options...
admw Posted November 28, 2012 Нет. Первое - трафик адресованный роутеру от 192.168.88.25. Второе вообще бессмысленное, но у него и пакетов ноль. А третье - транзит, исходящий от хоста. Первые два в топку + добавить правило FORWARD с DST ADDRESS 192.168.88.25. man iptables вам в помощь=) Спс за помощь! http://s47.radikal.ru/i116/1211/47/3fc3bea43282.jpg Ну вот вроде сделал как надо)) но через последнее правило все ровно идет какой то трафик, может еще что не так? И подскажите как правильно описать правило для запрета всем остальным. Share this post Link to post Share on other sites More sharing options...
sexst Posted November 28, 2012 На каждый хост нужно два правила на FORWARD. Одно с SRC ADDRESS, второе с DST ADDRESS. Далее. Если у вас много однотипных хостов, то лучше создать address list с этими хостами и сделать два правила для листа вместо отдельных каждому хосту. Чем больше правил, тем больше жрутся ресурсы. Share this post Link to post Share on other sites More sharing options...
admw Posted November 28, 2012 На каждый хост нужно два правила на FORWARD. Одно с SRC ADDRESS, второе с DST ADDRESS. Далее. Если у вас много однотипных хостов, то лучше создать address list с этими хостами и сделать два правила для листа вместо отдельных каждому хосту. Чем больше правил, тем больше жрутся ресурсы. Вот сделал как надо, практически весь трафик идет как надо. http://s018.radikal.ru/i503/1211/70/22ec42bba3ac.jpg Подскажите я правило для запрета остальным правильно создал? Share this post Link to post Share on other sites More sharing options...
sexst Posted November 28, 2012 Можно еще проще. Тупо выбрать цепочку Forward и указать drop. Адреса ни к чему. Share this post Link to post Share on other sites More sharing options...
admw Posted November 29, 2012 Спс за помощь, все работает. Share this post Link to post Share on other sites More sharing options...
