Iptables Regel für nur außerhalb des LANs erstellen
Sebastian Heinlein
glatzor at ubuntu.com
Fre Nov 16 16:45:26 GMT 2007
Am Freitag, den 16.11.2007, 14:49 +0100 schrieb Michael Böhm:
> Am 16.11.07 schrieb Tobias Krais <tux-spam at design-to-use.de>:
> Hi Michael,
>
> > Äh, nur mal so ins blaue, wie wärs mit:
> >
> > -d bzw. --destination ! 10.0.0.0/8 <http://10.0.0.0/8>
> >
> > also die Regel für alles außer eben dein 10er Netz.
>
> Ja! Genau das habe ich gesucht. Was ist, wenn ich die Regel
> jetzt nicht
> nur für das 10er Netz, sondern auch für 192.168.0.0/16
> freischalten
> will? Er sagt mir, dass multiple destinations nicht erlaubt
> seinen :-(
>
> Ja multiple, das geht nicht, is bei mir aber auch schon lange her. Ein
> spontaner Workaround
>
> fällt mir da nicht mehr ein, aber mir fällt da folgender Satz in der
> man page auf:
>
> "...If the packet does not match, the next rule in the chain is the
> examined;"
>
> Also wenn du einfach eine Regel vor die besagte machst, in der du dann
> den Verkehr in das 192.168.0.0/16er Netz abfängst.
> Dann dürfte der Traffic schon durchgehen bevor die zweite Regel auf
> den Rest des Verkehrs greift.
Vielleicht auch eine Möglichkeit:
iptables -N PROXY
iptables -A PROXY -d 10.0.0.0/8 -j ACCEPT
iptables -A PROXY -d 192.168.1.0/24 -j ACCEPT
iptables -A PROXY -j REDIRECT --to-port 8080
iptables -t nat -A OUTPUT -p tcp --dport 80 -j PROXY
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Dies ist ein digital signierter Nachrichtenteil
URL : https://lists.ubuntu.com/archives/ubuntu-de/attachments/20071116/e28fd0b5/attachment.pgp