https://www.opennet.ru/openforum/vsluhforumID1/93116.html Добрый день всем!<br>Не нашел в форуме подходящей темы по моему вопросу.<br>Имеется сервер на Ubuntu 10.04, 2.6.32-38-server, iptables v1.4.4, Squid Cache: Version 3.0.STABLE19<br>Имеется сеть провайдера с белым адресом и по этому же проводу приходит VLAN серой сетки с фильтрацией трафика для школ.<br>Стоит задача половина компов пустить через белый адрес, а вторую половину через прокси на VLAN, использую вот такую конструкцию iptables -t nat -I PREROUTING -m mac ! --mac-source ${M} -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.0.1:3128, эта строчка выполняется в цыкле.<br>И почему то все отправляются на прокси, а должны только чьи мак адреса не указаны в массиве ${M}. Если написать одну строку без цыкла iptables -t nat -I PREROUTING -m mac ! --mac-source 90:E6:BA:2F:37:E6 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.0.1:3128, то все нормально, все кроме этого мак адреса идут на прокси, а этот просто натится. Что не так делаю, может кто сталкивался?<br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#18 Sun, 04 Mar 2012 16:25:35 GMT &gt;&gt;&gt; кроме того можно все делать через --set-mark и без цепочек и с <br>&gt;&gt;&gt; чётким определением кого куда.<br>&gt;&gt; Совершенно верно. Но думаю, по адресам намного удобнее сделать.<br>&gt; По адресам, если привязывать адреса к макам в dhcp, то имена хостов <br>&gt; не записываются в зоны bind.<br>&gt; можно подробнее про --set-mark, на днях пробовал, но чего то не получилось <br><br>всем спасибо за советы и предложения, кому интересно, то вот таким образом получилось:<br> <br>$ipt -t mangle -N check_mac<br><br>touch /tmp/query<br>echo 'SELECT name FROM mac;' &#124; mysql -s -ubase_user -pbase_pass base_name &gt; /tmp/query<br>MAC=`cat /tmp/query`<br>for M in ${MAC}; do<br>$ipt -t mangle -A check_mac -m mac --mac-source ${M} -j MARK --set-mark 1<br>done<br>rm /tmp/query<br><br>$ipt -t mangle -I PREROUTING -p tcp -j check_mac<br>$ipt -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -m mark ! --mark 1 -j DNAT --to-destination 192.168.0.1:3128<br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#17 Sun, 04 Mar 2012 14:29:10 GMT &gt;&gt; кроме того можно все делать через --set-mark и без цепочек и с <br>&gt;&gt; чётким определением кого куда.<br>&gt; Совершенно верно. Но думаю, по адресам намного удобнее сделать.<br><br>По адресам, если привязывать адреса к макам в dhcp, то имена хостов не записываются в зоны bind.<br>можно подробнее про --set-mark, на днях пробовал, но чего то не получилось<br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#16 Sun, 04 Mar 2012 12:42:19 GMT &gt; кроме того можно все делать через --set-mark и без цепочек и с <br>&gt; чётким определением кого куда.<br><br>Совершенно верно. Но думаю, по адресам намного удобнее сделать.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#15 Sun, 04 Mar 2012 12:37:18 GMT &gt;&gt;&gt; да -- верно никаких ! не нужно в данном случае... а вот <br>&gt;&gt;&gt; при чём тут -j RETURN не асилил.<br>&gt;&gt; Я имел ввиду правила в цепочках.<br>&gt; если цепочка вложенная то -j RETURN выполняется в дефолте по окончанию правил <br>&gt; цепочки... насколько я ничего не помню.<br><br>кроме того можно все делать через --set-mark и без цепочек и с чётким определением кого куда.<br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#14 Sun, 04 Mar 2012 12:35:03 GMT &gt;&gt; да -- верно никаких ! не нужно в данном случае... а вот <br>&gt;&gt; при чём тут -j RETURN не асилил.<br>&gt; Я имел ввиду правила в цепочках.<br><br>если цепочка вложенная то -j RETURN выполняется в дефолте по окончанию правил цепочки... насколько я ничего не помню.<br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#13 Sun, 04 Mar 2012 12:32:21 GMT &gt; да -- верно никаких ! не нужно в данном случае... а вот <br>&gt; при чём тут -j RETURN не асилил.<br><br>Я имел ввиду правила в цепочках.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#12 Sun, 04 Mar 2012 12:31:00 GMT &gt;&gt; содаёте новую цепочку, все кто по одному адресу - в эту цепочку, <br>&gt;&gt; остальных на пhjкси в это цепочке указываете DNAT куда вы <br>&gt;&gt; его там <br>&gt; Тогда надо без исключений делать, то есть без !, иначе смысла нет <br>&gt; в цепочке, после первого правила по -j RETURN, если мак-адрес не <br>&gt; совпадает, будет сбрасывать на прокси.<br><br>да -- верно никаких ! не нужно в данном случае... а вот при чём тут -j RETURN не асилил.<br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#11 Sun, 04 Mar 2012 12:28:16 GMT &gt; содаёте новую цепочку, все кто по одному адресу - в эту цепочку, <br>&gt; остальных на пhjкси в это цепочке указываете DNAT куда вы <br>&gt; его там <br><br>Тогда надо без исключений делать, то есть без !, иначе смысла нет в цепочке, после первого правила по -j RETURN, если мак-адрес не совпадает, будет сбрасывать на прокси.<br> https://www.opennet.ru/openforum/vsluhforumID1/93116.html#10 Sun, 04 Mar 2012 12:24:54 GMT &gt;[оверквотинг удален]<br>&gt; Стоит задача половина компов пустить через белый адрес, а вторую половину через <br>&gt; прокси на VLAN, использую вот такую конструкцию iptables -t nat -I <br>&gt; PREROUTING -m mac ! --mac-source ${M} -p tcp -m multiport --dport <br>&gt; 80,8080 -j DNAT --to-destination 192.168.0.1:3128, эта строчка выполняется в цыкле.<br>&gt; И почему то все отправляются на прокси, а должны только чьи мак <br>&gt; адреса не указаны в массиве ${M}. Если написать одну строку без <br>&gt; цыкла iptables -t nat -I PREROUTING -m mac ! --mac-source 90:E6:BA:2F:37:E6 <br>&gt; -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.0.1:3128, то <br>&gt; все нормально, все кроме этого мак адреса идут на прокси, а <br>&gt; этот просто натится. Что не так делаю, может кто сталкивался?<br><br>содаёте новую цепочку, все кто по одному адресу - в эту цепочку, остальных на пhjкси в это цепочке указываете DNAT куда вы его там<br>