Rating@Mail.ru
IPB
Etersoft - from Windows to Linux
Etersoft
решения для перехода
с Windows на Linux
Дружественные сайты: alv.me и Rus-Linux.net

Здравствуйте, гость ( Вход | Регистрация ) Поиск · 

 
Reply to this topic Start new topic
> Iptables FORWARD работает только с избыточными правилами
uscr
bookmark
gyfbbdvkffmrljmmmwd
Sep 13 2017, в 15:10
Сообщение #1


Продвинутый участник
Иконка группы

Сообщений: 149

Вставить имя   :   Цитата

ОС: Fedora
Город: Moscow

Группа: Участники

Автор темы
Здравствуйте.
Есть шлюз, который маршрутизирует несколько сетей. Для обяснения вопроса хватит трёх:

Код
192.168.0.0/24
192.168.1.0/24
192.168.100.0/24


Задача следующая:

Сети 192.168.0.0 и 192.168.1.0 должны ходить в интернет.
Из сети 192.168.0.0 помимо интернета, должен быть доступ во все сети.
Из сети 192.168.1.0 должен быть доступ только к сети 192.168.100.0.

Из сети 192.168.100.0 не должно быть доступа никуда. Только если в неё стукнутся из 192.168.0.0 или 192.168.1.0.

Вот интерфейсы на шлюзе:

Код
enp1s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.1  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::21b:21ff:fe98:98c  prefixlen 64  scopeid 0x20<link>
        ether 00:1b:21:98:09:8c  txqueuelen 1000  (Ethernet)
        RX packets 150691686  bytes 48123777316 (44.8 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 173453652  bytes 188693398226 (175.7 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfbee0000-fbefffff  

enp1s0f0:5: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.1  netmask 255.255.255.0  broadcast 0.0.0.0
        ether 00:1b:21:98:09:8c  txqueuelen 1000  (Ethernet)
        device memory 0xfbee0000-fbefffff  

enp1s0f0:100: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.1  netmask 255.255.255.0  broadcast 0.0.0.0
        ether 00:1b:21:98:09:8c  txqueuelen 1000  (Ethernet)
        device memory 0xfbee0000-fbefffff


192.168.1.1 и 192.168.100.1 - алиасы на одном физическом интерфейсе.
В интернет смотрит enp2s0.

Для реализации задачи добавил вот такие нехитрые правила iptables:

Код
# Generated by iptables-save v1.6.0 on Wed Sep 13 15:03:47 2017
*nat
:PREROUTING ACCEPT [28146:2000758]
:INPUT ACCEPT [134:26457]
:OUTPUT ACCEPT [10:1298]
:POSTROUTING ACCEPT [77:8345]
-A POSTROUTING -s 192.168.0.0/24 -o enp2s0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o enp2s0 -j MASQUERADE
COMMIT
# Completed on Wed Sep 13 15:03:47 2017
# Generated by iptables-save v1.6.0 on Wed Sep 13 15:03:47 2017
*filter
:INPUT DROP [4483:305219]
:FORWARD DROP [29:13484]
:OUTPUT ACCEPT [551:86334]
-A INPUT -i enp2s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i enp1s0f0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 192.168.100.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -o enp2s0 -j ACCEPT
COMMIT


В такой конфигурации из сети 192.168.0.0 доступно всё, как и задумывалось.
Но из 192.168.1.0 нет доступа к сети 192.168.100.0.

Зато при добавлении ещё одного правила:

Код
-A FORWARD -s 192.168.100.0/24 -d 192.168.1.0/24 -j ACCEPT


Доступ к сети 100 появляется.

На мой взгляд, это правило избыточное, так как ожидаю, что
Код
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


всё разрулит и при обращении в 192.168.100.0 обратные пакеты пролетят через шлюз, как это и работает для сети 192.168.0.0.

Полагаю, проблема где-то в районе использования алиасов вместо полноценных физических интерфейсов. Или я не прав?
Go to the top of the page
 
+Quote Post
Institut
bookmark
gyfbbdvkffmrljmmmwd
Sep 13 2017, в 16:35
Сообщение #2


Постоялец
Иконка группы

Сообщений: 188

Вставить имя   :   Цитата

ОС: debian Stretch + xfce
Город: /home

Группа: Участники

Цитата
Но из 192.168.1.0 нет доступа к сети 192.168.100.0.

Вы отправляете новый (статус NEW) пакет из сети 192.168.1.0 к сети 192.168.100.0 на установку соединения с ней.
Ваша дефолтная политика :FORWARD DROP
Поэтому правило
Цитата
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

не срабатывает. Нельзя установить соединение, так как все пакеты NEW отбрасываются.
Цитата
Зато при добавлении ещё одного правила:
-A FORWARD -s 192.168.100.0/24 -d 192.168.1.0/24 -j ACCEPT
Доступ к сети 100 появляется.

Вы разрешили прохождение пакетов между этими сетями с любым состоянием, статусом.
Цитата
Или я не прав?

Я объяснил, как я понимаю.
Если хотите, могу более подробно рассказать.


Спасибо сказали:
Go to the top of the page
 
+Quote Post
lone_wolf
bookmark
gyfbbdvkffmrljmmmwd
Sep 13 2017, в 18:37
Сообщение #3


Новичок
Иконка группы

Сообщений: 28

Вставить имя   :   Цитата

Группа: Участники

Цитата(Institut @ Sep 13 2017, в 15:35) *
Spoiler:
Цитата
Но из 192.168.1.0 нет доступа к сети 192.168.100.0.

Вы отправляете новый (статус NEW) пакет из сети 192.168.1.0 к сети 192.168.100.0 на установку соединения с ней.
Ваша дефолтная политика :FORWARD DROP
Поэтому правило
Цитата
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

не срабатывает. Нельзя установить соединение, так как все пакеты NEW отбрасываются.
Цитата
Зато при добавлении ещё одного правила:
-A FORWARD -s 192.168.100.0/24 -d 192.168.1.0/24 -j ACCEPT
Доступ к сети 100 появляется.

Вы разрешили прохождение пакетов между этими сетями с любым состоянием, статусом.
Цитата
Или я не прав?

Я объяснил, как я понимаю.
Если хотите, могу более подробно рассказать.

Так же думаю, но если не затруднит раскажите подробней (думаю новичкам, в какой то степени и мне вспомнить поможет blush.gif ) drinks.gif
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Sep 13 2017, в 20:59
Сообщение #4


grammatikführer
Иконка группы

Сообщений: 12715

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Цитата(uscr @ 13th September 2017 - в 15:10) *
Но из 192.168.1.0 нет доступа к сети 192.168.100.0.

Покажите, как проверяете. И таблицы маршрутизации на обеих машинах, связь между которыми проверяется.


--------------------
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Go to the top of the page
 
+Quote Post
uscr
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 13:04
Сообщение #5


Продвинутый участник
Иконка группы

Сообщений: 149

Вставить имя   :   Цитата

ОС: Fedora
Город: Moscow

Группа: Участники

Автор темы
Цитата(Bizdelnick @ Sep 13 2017, в 21:59) *
Цитата(uscr @ 13th September 2017 - в 15:10) *
Но из 192.168.1.0 нет доступа к сети 192.168.100.0.

Покажите, как проверяете. И таблицы маршрутизации на обеих машинах, связь между которыми проверяется.



Проверяю просто пингом.

Таблица маршрутизации выглядит незатейливо:

Код
Таблица маршутизации ядра протокола IP

Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp4s0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp4s0
Go to the top of the page
 
+Quote Post
uscr
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 13:09
Сообщение #6


Продвинутый участник
Иконка группы

Сообщений: 149

Вставить имя   :   Цитата

ОС: Fedora
Город: Moscow

Группа: Участники

Автор темы
Цитата(Institut @ Sep 13 2017, в 17:35) *
Вы отправляете новый (статус NEW) пакет из сети 192.168.1.0 к сети 192.168.100.0 на установку соединения с ней.
Ваша дефолтная политика :FORWARD DROP
Поэтому правило
Цитата
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

не срабатывает. Нельзя установить соединение, так как все пакеты NEW отбрасываются.


Насколько я понимаю conntrack, после отправки NEW, обратный пакет будет считаться уже ESTABLISHED.

Таким образом, у меня NEW разрешён правилом -A FORWARD -s 192.168.1.0/24 -d 192.168.100.0/24 -j ACCEPT
А обратные пакеты полетят уже по -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Если почитать правила для 192.168.0.0/24 можно увидеть, что там так всё и работает, что и вызывает недоумение. Разве только разрешено форвардить всё из этой сети.
Go to the top of the page
 
+Quote Post
s.xbatob
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 15:46
Сообщение #7


Бывалый
Иконка группы

Сообщений: 394

Вставить имя   :   Цитата

ОС: RfRemix
Город: Санкт-Петербург

Группа: Участники

Цитата(uscr @ Sep 14 2017, в 13:09) *
Насколько я понимаю conntrack, после отправки NEW, обратный пакет будет считаться уже ESTABLISHED.

Нет, сначала им надо поговорить в состояниях SYN_SENT и SYN_RECEIVED
Go to the top of the page
 
+Quote Post
Institut
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 17:00
Сообщение #8


Постоялец
Иконка группы

Сообщений: 188

Вставить имя   :   Цитата

ОС: debian Stretch + xfce
Город: /home

Группа: Участники

Цитата
Насколько я понимаю conntrack, после отправки NEW, обратный пакет будет считаться уже ESTABLISHED

Это если соединение установлено. А до установки соединения применяются првила из iptables, и если у Вас в правилах не указано явное
разрешение на установления соединения, то тогда будет применяться Ваша дефолтная политика для цепочки FORWARD DROP.
Цитата
Таким образом, у меня NEW разрешён правилом -A FORWARD -s 192.168.1.0/24 -d 192.168.100.0/24 -j ACCEPT
А обратные пакеты полетят уже по -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

У Вас в правиле -A FORWARD -s 192.168.1.0/24 -d 192.168.100.0/24 -j ACCEPT разрешены не только NEW, а все 4 имеющихся в iptables состояния соединения.
Цитата
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
Если почитать правила для 192.168.0.0/24 можно увидеть, что там так всё и работает, что и вызывает недоумение.

А простите, в чем недоумение, в том что Вы разрешили forward src 192.168.0.0/24 для любого конечного адреса?
Я на Ваш вопрос дал очень подробный ответ.
Вы просто поясните, что именно нужно.

lone_wolf
Цитата
Так же думаю, но если не затруднит раскажите подробней (думаю новичкам, в какой то степени и мне вспомнить поможет

Новичкам наверное проще спросить.
Если подробней - любое соединение например по протоколу TCP начинается с того, что Вы посылаете пакет tcp (с определенным флагом на установку соединение, хотя можно послать пакет и с другим флагом).
Для того, кому Вы отправили пакет, он будет иметь статус NEW.
Сначала действует политика для цепочки, потом уже действуют правила из цепочки.
Дальше все определяется политикой для каждой из цепочек, например INPUT - входящие.
Если используется политика внутри цепочки DROP (запрет,блокировка) - то все что явно не разрешено в этой цепочке, будет отброшено.
Но для того-же TCP соединения ещё существуют флаги TCP пакета, и их можно использовать.
Самый простой пример для ssh на "любимом" 22 порту.
Например дефолтная политика цепочки INPUT DROP
Правило -A INPUT -p tcp -m tcp -m conntrack --ctstate RELATED,ESTABLISHED --dport 22 -j ACCEP
не разрешит подключения по SSH (пакеты SSH имеют статус NEW, и следовательно будут отброшены дефолтной политикой цепочки INPUT DROP).
Добавим првило, что-бы было так
-A INPUT -p tcp --tcp-flags SYN,FIN SYN -m conntrack --ctstate NEW --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp -m conntrack --ctstate RELATED,ESTABLISHED --dport 22 -j ACCEPT
Те разрешим только новые соеденения с установленным флагом SYN,FIN SYN - и все.
Как-то так.


Спасибо сказали:
Go to the top of the page
 
+Quote Post
uscr
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 17:09
Сообщение #9


Продвинутый участник
Иконка группы

Сообщений: 149

Вставить имя   :   Цитата

ОС: Fedora
Город: Moscow

Группа: Участники

Автор темы
Цитата(Institut @ Sep 14 2017, в 18:00) *
Это если соединение установлено. А до установки соединения применяются првила из iptables, и если у Вас в правилах не указано явное
разрешение на установления соединения, то тогда будет применяться Ваша дефолтная политика для цепочки FORWARD DROP.

Но как тогда работает соединение из 192.168.0.0 в 192.168.100.0 ?

Цитата(Institut @ Sep 14 2017, в 18:00) *
Я на Ваш вопрос дал очень подробный ответ.
Вы просто поясните, что именно нужно.


Очень подробный, но противоречивый. Всё, что вы написали, должно применяться и к пакетам из 192.168.0.0 в 192.168.100.0. И ничего не должно работать. Но нет. Из 192.168.0.0 есть доступ куда угодно.
Go to the top of the page
 
+Quote Post
Institut
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 17:20
Сообщение #10


Постоялец
Иконка группы

Сообщений: 188

Вставить имя   :   Цитата

ОС: debian Stretch + xfce
Город: /home

Группа: Участники

Цитата
Но как тогда работает соединение из 192.168.0.0 в 192.168.100.0

Цитата
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
Так и работает, куда угодно, так как -d (destination) не указан.
Цитата
Из 192.168.0.0 есть доступ куда угодно.
Правильно, так как у Вас -d (destination) не указан.

Цитата
но противоречивый
В чем именно?
Go to the top of the page
 
+Quote Post
uscr
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 17:31
Сообщение #11


Продвинутый участник
Иконка группы

Сообщений: 149

Вставить имя   :   Цитата

ОС: Fedora
Город: Moscow

Группа: Участники

Автор темы
Цитата(Institut @ Sep 14 2017, в 18:20) *
В чем именно?


Вы пишете, что у меня нет доступа из 1.0 в 100.0 потому, что когда соединение ещё не установлено, для обратного пакета из 100.0 нет разрешающего правила.

Но такого правила нет и для 0.0.

Я, разумеется, уже прорабатывал вариант с моим сумашествием и менял правило

Код
-A FORWARD -s 192.168.1.0/24 -d 192.168.100.0/24 -j ACCEPT


на

Код
-A FORWARD -s 192.168.1.0/24 -j ACCEPT


Предсказуемо, ничего не заработало. Потому что применительно к сетям 192.168.1.0 и 192.168.100.0 эти правила будут работать совершенно одинаково.
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 21:33
Сообщение #12


grammatikführer
Иконка группы

Сообщений: 12715

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Странно. Единственное, что приходит в голову, — запрос от машины 192.168.1.x каким-то образом идёт на машину 192.168.100.y в обход шлюза (или в обход цепочки FORWARD), тогда как ответ — через шлюз.


--------------------
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Go to the top of the page
 
+Quote Post
Institut
bookmark
gyfbbdvkffmrljmmmwd
Sep 14 2017, в 21:59
Сообщение #13


Постоялец
Иконка группы

Сообщений: 188

Вставить имя   :   Цитата

ОС: debian Stretch + xfce
Город: /home

Группа: Участники

Цитата
Но такого правила нет и для 0.0

Есть правило -
Цитата
-A FORWARD -s 192.168.0.0/24 -j ACCEPT

1 Вы спрашиваете -
Цитата
На мой взгляд, это правило избыточное, так как ожидаю, что
Код
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Я ответил, на примерах.
Цитата
Доступ к сети 100 появляется.
Это я или Вы написали?

2 Как вариант - измените правила - например
-A FORWARD -s 192.168.0.0/24 - j ACCEPT
-A FORWARD -s 192.168.1.0/24 - j ACCEPT
-A FORWARD -s 192.168.100.0/24 - j ACCEPT
-A FORWARD -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
Если не заработает, попробуйте поменяйте политику :FORWARD ACCEPT
Просто по Вашему первому вопросу, про избыточность я ответил.
Теперь выясняется, что ещё что-то не работает.
Напишите точно, что именно не получается.
Да и ведение лога должно помочь.
Но возможно, что проблема в маршрутизации.
Go to the top of the page
 
+Quote Post
uscr
bookmark
gyfbbdvkffmrljmmmwd
Sep 15 2017, в 16:46
Сообщение #14


Продвинутый участник
Иконка группы

Сообщений: 149

Вставить имя   :   Цитата

ОС: Fedora
Город: Moscow

Группа: Участники

Автор темы
Вопрос мой сформулирован в одной фразе в первоначальном посте:

>>В такой конфигурации из сети 192.168.0.0 доступно всё, как и задумывалось.
>>Но из 192.168.1.0 нет доступа к сети 192.168.100.0.


Ещё раз: при указании идентичных правил и для 0.0 и для 1.0 - работает только 0.0

Потом уже я написал, что при добавлении разрешения форвардить из 100.0 всё работает.
Ну так это равносильно -P FORWARD -j ACCEPT. И это не допустимо.
Задача - ограничить 100.0 таким образом, что бы соединения с хостами в сети 100.0 могли быть инициированы только из других сетей.


Цитата(Institut @ Sep 14 2017, в 22:59) *
Цитата
Но такого правила нет и для 0.0

Есть правило -
Цитата
-A FORWARD -s 192.168.0.0/24 -j ACCEPT



Ну нет! Это правило разрешает форвардинг ИЗ сети 0.0 (src 0.0). Но В сеть 0.0 (dst 0.0) по нему не сматчится ни одного пакета.

Цитата(Institut @ Sep 14 2017, в 22:59) *
2 Как вариант - измените правила - например
-A FORWARD -s 192.168.0.0/24 - j ACCEPT
-A FORWARD -s 192.168.1.0/24 - j ACCEPT
-A FORWARD -s 192.168.100.0/24 - j ACCEPT
-A FORWARD -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT


Выше ещё раз описал задачу. Такие правила, фактически, заменяются -P FORWARD -j ACCEPT
Go to the top of the page
 
+Quote Post
Institut
bookmark
gyfbbdvkffmrljmmmwd
Sep 16 2017, в 11:03
Сообщение #15


Постоялец
Иконка группы

Сообщений: 188

Вставить имя   :   Цитата

ОС: debian Stretch + xfce
Город: /home

Группа: Участники

Цитата
Сети 192.168.0.0 и 192.168.1.0 должны ходить в интернет.
Из сети 192.168.0.0 помимо интернета, должен быть доступ во все сети.
Из сети 192.168.1.0 должен быть доступ только к сети 192.168.100.0.
Ещё раз: при указании идентичных правил и для 0.0 и для 1.0 - работает только 0.0
Из сети 192.168.100.0 не должно быть доступа никуда. Только если в неё стукнутся из 192.168.0.0 или 192.168.1.0.
Задача - ограничить 100.0 таким образом, что бы соединения с хостами в сети 100.0 могли быть инициированы только из других сетей.
Ну нет! Это правило разрешает форвардинг ИЗ сети 0.0 (src 0.0). Но В сеть 0.0 (dst 0.0) по нему не сматчится ни одного пакета.


У Вас фактически несколько вопросов - давайте попробуем последовательно.

1 Задача - ограничить 100.0 таким образом, что бы соединения с хостами в сети 100.0 могли быть инициированы только из других сетей.
Из сети 192.168.100.0 не должно быть доступа никуда. Только если в неё стукнутся из 192.168.0.0 или 192.168.1.0.
Так давайте её прибьем во входной цепочке.
-A INPUT -s 192.168.100.0/24 -m conntrack --ctstate NEW -J LOG --log-prefix "iptables 100 NEW"
-A INPUT -s 192.168.100.0/24 -m conntrack --ctstate NEW - J DROP и добавим во входную цепочку
-A INPUT -d 192.168.100.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j LOG --log-prefix "iptables 100 !NEW"
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Проверяем, что из сети 100 пакеты NEW все-таки приходят,
потом заблокируем все попытки открыть новое соединение из 192.168.100.0/24,
но если соединение установлено, из других сетей, то разрешаем его работу,
и проверяем, что пакеты идут в 100 сеть.
Это работает при добавлениии или нет? (не забудьте пререзапусить слубу iptables)

2 Ещё раз: при указании идентичных правил и для 0.0 и для 1.0 - работает только 0.0 Добавим во входную цепочку правило -A INPUT -s 192.168.1.0/24 -j ACCEPT
Это работает при добавлениии или нет?

3 Это правило разрешает форвардинг ИЗ сети 0.0 (src 0.0). Но В сеть 0.0 (dst 0.0) по нему не сматчится ни одного пакета. -A FORWARD -d 192.168.0.0/24 -j ACCEPT
Это работает при добавлениии или нет?

Приложите пожалуйста итоговый конфиг iptables.

На край - надо пробовать ведение лога. Но для этого надо видеть всю Вашу iptables.

4 Можно попробовать для FORWARD. Хотя возможно надо поменять порядок.

-A FORWARD -s 192.168.100.0/24 -m conntrack --ctstate RELATED,ESTABLISHED - j ACCEPT
-A FORWARD -s 192.168.0.0/24 - j ACCEPT
#[-A FORWARD -d 192.168.0.0/24 -j ACCEPT]
-A FORWARD -s 192.168.1.0/24 - j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Go to the top of the page
 
+Quote Post

 Reply to this topic Start new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 25th September 2017 - в 16:22




Rating@Mail.ru