On Fri, Apr 30, 2004 at 04:48:19PM +0300, Gregory Edigarov writes:
Можно перекрывать на внутреннем интерфейсе все, кроме разрешенного. У тебя tun0, как я понял, внешний. Пусть внутренний будет fxp0. Тогда добавь
ipfw add allow all from any to me in recv fxp0 ipfw add allow all from 192.168.5.220 to any in recv fxp0 ipfw add deny all from any to any in recv fxp0 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ я не могу так делать. на этой же тачке до фига других сервисов крутится для серой сетки.
Это правило закрывает forward из внутренней сетки вовне для всех, кроме явно разрешенного в предыдущем правиле IP. Как раз то, что в iptables попадает в FORWARD, потому что аналог INPUT отработан в первом правиле (которое тоже можно заменить на более подробное описание, что нужно разрешить, а что запретить). То есть, правила allow/deny, которые тебе нужны, пусть отрабатываются на внутреннем интерфейсе, а nat будет работать, когда пакеты проходят через внешний интерфейс. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message