https://www.opennet.ru/openforum/vsluhforumID1/86536.html Прошу помощи по iptables.<br><br>Есть такое правило (приблизительно): <br>iptables -t nat -A POSTROUTING -o ppp0 -d ! $NET1 -p tcp --dport 80 -j MASQUERADE<br>iptables -t nat -A POSTROUTING -o ppp0 -d ! $NET1 -p udp --dport 53 -j MASQUERADE<br><br>Клиенты получают доступ в Инет, если --destination не есть одна конкретная сеть. В эту сеть они попадают посредством VPN и не должны натиться. Так работало до сегодняшнего дня. Возникли осложнения, - необходимо добавить $NET2 и $NET3 и правило должно стать следующим:<br>"Натить все что идет в направлении ppp0, но только если это не в $NET1 ИЛИ не в $NET2 ИЛИ не в $NET3"<br><br>Ставить цепочки друг за другом нельзя, так как если мы прошли первое правило, которое не маскарадит пакеты для этой сети, то попадаемся на другом, которое говорит, что да - надо маскарадить. <br><br>Заранее благодорю за помощь.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/86536.html#4 Thu, 10 Sep 2009 08:25:49 GMT Решение от Andrey Mitrofanov мне показалось наиболее элегантным. Попробовал - работает - "то что доктор прописал". <br><br>Спасибо всем отклинувшимся - за просветление.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/86536.html#3 Thu, 10 Sep 2009 06:06:51 GMT &gt;Ставить цепочки друг за другом нельзя, так как если мы прошли первое <br>&gt;правило, которое не маскарадит пакеты для этой сети, то попадаемся на <br>&gt;другом, которое говорит, что да - надо маскарадить. <br>&gt;<br>&gt;Заранее благодорю за помощь. <br><br>что значит нельзя? не понимаем принцип acl или еще что? разбираемся в логике (алгоритме) того, что надо сделать; помним, что первый сработал -- остальные пох.<br><br>то бишь<br>1) если пришло на net1 и ppp0 -- пропускаем<br>2) если пришло на net2 и ppp0 -- пропускаем<br>3) если пришло на ppp0 -- натим<br>4) что-то делаем с остальным трафиком...<br><br>уже потом переводим это на язык iptables и запускаем<br> https://www.opennet.ru/openforum/vsluhforumID1/86536.html#2 Thu, 10 Sep 2009 05:40:03 GMT &gt;"Натить все что идет в направлении ppp0, но только если это не <br>&gt;в $NET1 ИЛИ не в $NET2 ИЛИ не в $NET3" <br><br>-t NAT -N chain<br>-t NAT -A chain -d $NET1 -j RETURN<br>-t NAT -A chain -d $NET2 -j RETURN<br>-t NAT -A chain -d $NET3 -j RETURN<br>-t NAT -A chain -j MASQUERADE<br><br>-t NAT -A POSTROUTING -o ppp0 -p tcp --dport 80 -j chain<br> https://www.opennet.ru/openforum/vsluhforumID1/86536.html#1 Thu, 10 Sep 2009 04:31:40 GMT &gt;[оверквотинг удален]<br>&gt;Так работало до сегодняшнего дня. Возникли осложнения, - необходимо добавить $NET2 <br>&gt;и $NET3 и правило должно стать следующим: <br>&gt;"Натить все что идет в направлении ppp0, но только если это не <br>&gt;в $NET1 ИЛИ не в $NET2 ИЛИ не в $NET3" <br>&gt;<br>&gt;Ставить цепочки друг за другом нельзя, так как если мы прошли первое <br>&gt;правило, которое не маскарадит пакеты для этой сети, то попадаемся на <br>&gt;другом, которое говорит, что да - надо маскарадить. <br>&gt;<br>&gt;Заранее благодорю за помощь. <br><br>iptables -t nat -A POSTROUTING -o ppp0 -d $NET1 -p tcp --dport 80 -j ACCEPT<br>iptables -t nat -A POSTROUTING -o ppp0 -d $NET2 -p tcp --dport 80 -j ACCEPT<br>iptables -t nat -A POSTROUTING -o ppp0 -d $NET3 -p tcp --dport 80 -j ACCEPT<br><br>iptables -t nat -A POSTROUTING -o ppp0 -p tcp --dport 80 -j MASQUERADE<br>iptables -t nat -A POSTROUTING -o ppp0 -p udp --dport 53 -j MASQUERADE<br>