[Linuxtrent] Re: [iptables] mascherare con eccezioni... la via più breve
- From: "Giuliano Natali" <diaolin@xxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 17 Jun 2008 13:24:40 +0200 (CEST)
Con amorevole cura Paolo Larcheri ha scritto:
> On Tue, Jun 17, 2008 at 11:36 AM, Gelpi Andrea <liste@xxxxxxxx> wrote:
>> Devo correggere la mail precedente.
>> Se ho capito bene, vuoi che il traffico ssh per la rete 192.168.1.0/24
>> passi
>> non nattato.
>
> esatto
>
>> In questo caso la seconda regola va modificata con --sport ! 22
>> altrimenti
>> ottieni il contrario.
>
> OK, avevo notato.
>
>> Occhio oltre a negare la prota 22 metti sport non dport.
>
> OK, avevo notato anche questo.
>
>> In altre parole fai nat di tutto tranne se il destination è la rete
>> 192.168.1.0/24 e il traffico arriva da un server ssh.
>
> Ci siamo quasi, ma non è proprio questo. Le due condizioni sono in OR
> e non in AND. Cioé voglio che non venga nattato nè il traffico che ha come
> dst 192.168.1.0/24, nè il traffico che ha come sport la 22.
Hai letto i miei post????
per togliere dal POSTROUTING
metti
iptables -I POSTROUTING -t nat -p tcp --sport 22 -d 0.0.0.0/0 -j ACCEPT
per ULTIMO dopo il -A su SNAT.
>
> Ad occhio me la cavo solo usando delle mie chain...
>
> Ho cercato se esiste in iptables una cosa simile al NONAT di Shorewall
ma brao.... come se shorewall le scrivesse con orcocanchesoftware
le regole...
Diaolin
--
l?è vert l?è azur, pu gialt
color de ?n bòciol rosa
en quadro che se möve
ninandome par man
Giuliano
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: