[linux] rozdelenie dvoch sieti
Martin Marusinec
mathew na ecstasy.sk
Pondělí Březen 3 11:33:21 CET 2003
On Mon, Mar 03, 2003 at 10:27:34AM +0100, Matus fantomas Uhlar wrote:
> -> tak mi staci dat iptables -A FORWARD -s
> -> jedna_siet/24 -p all -d druha_siet/24 -j DROP ? jedna siet je na jednej
> -> sietovke a druha na druhej.
>
> nestaci.
>
> 1. odporucam -I nie -A: ak je tam uz ine pravidlo, ktore urcuje co s
> takymito paketmi, toto by nefungovalo.
>
> 2. daj do chainu INPUT. nech to router hned dropne a nezaobera sa s tym
> paketom dalej.
Ak sa pouziva netfilter (iptables), tak pakety neprechadzaju
vsetkymi moznymi chainmi, iba tymi prislusnymi, tzn: urcene pre dany host
chainom INPUT, odchadzajuce z hostu chainom OUTPUT a forwardovane chainom
FORWARD. Je to rozdiel oproti ipchains, kde forwardovane pakety prechadzali
INPUT->FORWARD->OUTPUT.
>
> 3. stalo by za uvahu -j REJECT nech zdrojova masina dostane informaciu ze sa
> tam paket nedostane - nech napriklad pri tcp connecte hned vie ze smola a
> nemusi cakat na timeout
>
Další informace o konferenci linux