umike Posted April 16, 2013 Posted April 16, 2013 (edited) eth0 192.168.0.1/24 eth1 172.16.0.1/24 сделан src-nat в eth1, работает сделан "проброс порта" dst-nat, трафик eth1:172.16.0.1:1234 перенаправляется на 192.168.0.100:1234, работает как сделать следующее: 1) ограничить доступ к "проброшенному" порту eth1:172.16.0.1:1234 списком конкретных разрешенных src-ip 2) запретить пакеты, идущие по роутингу транзитом из 172.16.0.1/24 в 192.168.0.0/24, не поломав наты второй день не могу сообразить, ранее работал с BSD, там пакеты из фаервола отправляются в нат, а тут порядок наоборот. Делаю последним правило drop всего из eth1, пытаюсь разрешить всё из eth1 + dst-ip 172.16.0.1 и получаю облом. Понимаю что чего-то не понимаю :) Edited April 16, 2013 by umike Вставить ник Quote
Saab95 Posted April 16, 2013 Posted April 16, 2013 В Address List Добавьте нужные адреса и в правиле проброса укажите что src адрес должен быть именно из него. В фильтры добавьте правило где src = 172.16.0.1 а dst = 192.168.0.0/24 действие drop, на нат не повлияет. Вставить ник Quote
Constantin Posted April 17, 2013 Posted April 17, 2013 действие drop, на нат не повлияет. ето как???? у мя влияют что я делаю не так?? Вставить ник Quote
Saab95 Posted April 18, 2013 Posted April 18, 2013 действие drop, на нат не повлияет. ето как???? у мя влияют что я делаю не так?? Наверно что-то не так настроили. Обычно нат работает для определенных подсетей, и если нужно что-то запретить, например части этой подсети доступ в инет, то эти адреса блокируются через drop без проблем. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.