Just nu i M3-nätverket
Jump to content

flera -s i iptables


Griffin (Daedalus)

Recommended Posts

Griffin (Daedalus)

Hej.

 

Jag behöver hjälp med följande:

jag vill dnat'a från flera "sources"

Liknande:

iptables -t nat -A PREROUTING -s 194.236.106.43:194.236.106.105 -p tcp --dnat --to-source 192.168.0.10:80

 

Detta fungerar dock inte. Är detta möjligt och isåfall hur?

 

/Sebastian

 

 

 

********************

"Lugnet framför allt"

Link to comment
Share on other sites

Nu kan inte jag iptables så bra förstås, men borde det inte bara gå att göra två rader istället? Såhär:

 

iptables -t nat -A PREROUTING -s 194.236.106.43 -p tcp --dnat --to-source 192.168.0.10:80

 

iptables -t nat -A PREROUTING -s 194.236.106.105 -p tcp --dnat --to-source 192.168.0.10:80

 

Om det nu är så att du bara vill släppa in vissa personer på just denna webserver så kanske det bästa ändå är att routa in allt på port 80 och sedan ställa in i webservern vilka IP adresser som ska få tillgång? (Fast å andra sidan kanske du har flera webservrar...)

 

Link to comment
Share on other sites

Ur man iptables:

" -s, --source [!] address[/mask]

Source specification. Address can be either a

hostname, a network name, or a plain IP address.

The mask can be either a network mask or a plain

number, specifying the number of 1's at the left

side of the network mask. Thus, a mask of 24 is

equivalent to 255.255.255.0. A "!" argument before

the address specification inverts the sense of the

address. The flag --src is a convenient alias for

this option."

 

 

Som Bj0rN skriver så måste du ha en source per iptables kommando, förutom om du specificerar subnät

 

Ex:

iptables ... -s 194.236.106.43/26 ...

 

 

Detta specificerar ett 64 adresser stort nät, startande på .43 (slutar mao på 107)

 

 

Dessutom vill du nog använda -I istället för -A för att lägga till routingregler. (med -A så lägger man de sist i kedjan, och det är lätt hänt att ha någon tidigare regel som behandlar det inkommande paketet före det når fram till den tänkta regeln)

 

Jag skulle hellre köra

iptables -t nat -I PREROUTING ...

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[inlägget ändrat 2002-08-05 14:44:40 av Coleburn]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...