Есть локальная сеть:
Адреса клиентов находятся в подсети 192.168.0.0/24, а все остальной в подсети 192.168.1.0/24.
Настроен NAT из подсети 192.168.0.0/24 в подсеть 192.168.1.0
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 192.168.1.30
В виде роутера между сетями выступает PC с установленной RedHat 9.0
Установлена Биллинговая система на базе RedHat 9.0, но возникает проблема:
По умолчанию как и сказано в "РУКОВОДСТВЕ СИСТЕМНОГО АДМИНИСТРАТОРА" установил правило:
iptables -P FORWARD DROP.
Все вроде нормально после добавления данной политики по умолчанию, клиенты доступ на внешнюю сетку (192.168.1.0/24) из сети (192.168.0.0/24) не имеют.
Но при добавлении првила из "iptables -A FORWARD -s UID/UBITS -j ACCEPT" (iptables -A FORWARD -s 192.168.0.5/32 -j ACCEPT), ничего непроисходит и клиент как и немог обратиться к внешней сети так и неможет, хотя в правилах iptables в цепочке FORWARD таблицы Filter отображается запись:
Результат вывода команды iptables -nL
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT All -- 192.168.0.5 0.0.0.0/0
Может кто сталкивался с такой проблеммой, помогите пожалуйста.
Заранее благодарен.
Проблемы с добавлением правил в Iptables
Я немного по другому поступил:
Правило по-умолчанию для FOWRARD как было, так и осталось ACCEPT, просто самым посленим правилом для FORWARD у меня стоит что-то типа:
...
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:station - [0:0]
...
-A FORWARD -s 172.16.1.0/255.255.255.0 -j station
-A FORWARD -s 172.16.1.0/255.255.255.0 -j DROP
...
(если принять, что клиентам раздаются адреса из 172.16.1.1-254). Правила, разрешающие доступ в интернет добавляются не напрямую в FORWARD, а в цепочку "station"
Правило по-умолчанию для FOWRARD как было, так и осталось ACCEPT, просто самым посленим правилом для FORWARD у меня стоит что-то типа:
...
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:station - [0:0]
...
-A FORWARD -s 172.16.1.0/255.255.255.0 -j station
-A FORWARD -s 172.16.1.0/255.255.255.0 -j DROP
...
(если принять, что клиентам раздаются адреса из 172.16.1.1-254). Правила, разрешающие доступ в интернет добавляются не напрямую в FORWARD, а в цепочку "station"
Re: Проблемы с добавлением правил в Iptables
У вас добавлено разрешение только в одну сторону т.е. от клиента 192.168.0.5 пакеты пройдут, а обратно не вернутся. Необходимо добавить сторое правило:ZeroWave писал(а): Результат вывода команды iptables -nL
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT All -- 192.168.0.5 0.0.0.0/0
Может кто сталкивался с такой проблеммой, помогите пожалуйста.
Заранее благодарен.
iptables -A FORWARD -d 192.168.0.5/32 -j ACCEPT
в биллинге это соответсвенно
iptables -A FORWARD -d UID/UBITS -j ACCEPT