On 10:50 am 06/17/08 "Paolo Larcheri" <paolo.larcheri@xxxxxxxxx> wrote: > On Tue, Jun 17, 2008 at 10:23 AM, Giuliano Natali <diaolin@xxxxxxxxxxx > > wrote: > > > > Con amorevole cura Paolo Larcheri ha scritto: > >> Ho un piccolo quiz... > >> > >> voglio mascherare tutto il traffico proveniente dalla subnet > >> 172.16.44.0/29 tranne: > >> - il traffico destinato alla 192.168.1.0/24 > >> - il traffico TCP che ha come source port la 22. > >> > >> Qual è secondo voi il modo più sintetico per farlo? > > > > > > #blocco il FORWARD su rete interna match prima richiesta > > iptables -A FORWARD -s 172.16.44.0/29 -d 192.168.1.0/24 -j REJECT > > #blocco il FORWARD da porta sorgente 22 match seconda richiesta > > iptables -A FORWARD -s 172.16.44.0/29 -p tcp --sport 22 -j REJECT > > #accetto il FORWARD verso tutti > > iptables -A FORWARD -s 172.16.44.0/29 -d 0.0.0.0/0 -j ACCEPT > > #maschero il traffico > > iptables -A POSTROUTING -t nat -s 172.16.44.0/29 -d 0.0.0.0/0 -j > > SNAT --to-source IP.MA.S.Q > > > > Mi sa che devo fare dietro front... mi sono spiegato male io. Chiedo > scusa anche > a Gelpi per aver sostenuto che fosse stato lui a non capire me! > > Vorrei che quel traffico passasse, ma non mascherato... > > P. > QUINDI alla fine inserisci #accetta da 172* in forward verso 192* iptables -I FORWARD -s 172.16.44.0/29 -d 192.168.1.0/24 -j ACCEPT #accetta in forward da porta 22 iptables -I FORWARD -p tcp --sport 22 -s 172.168.44.0/29 -j ACCEPT #e la prossima impedisce di mascherare iptables -I PREROUTING -t nat -s 172.16.44.0/29 -j ACCEPT Diaolo > > -- > Paolo Larcheri > http://tuttodebian.blogspot.com > Linux User #383461 > http://counter.li.org > -- > Per iscriversi (o disiscriversi), basta spedire un messaggio con > OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@free > lists.org -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx