1 (23.08.2019 19:05:52 отредактировано lone_wolf)

Всем привет!
Собственно допустим нужно настроить выход в инет с локальной сети, и вот значит в сети предлагают такой вариант:

 Консоль:

$ iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -j ACCEPT
$ iptables -A FORWARD -i eth1 -o eth0 -d 192.168.0.0/24 -j ACCEPT
$ iptables -P FORWARD DROP
тем самым разрешили ходить транзитным пакетам через firewall для нашего диапазона ip адресов, а всё остальное запрещаем.
Теперь сам NAT:
$ iptables -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 10.188.106.33

Где значится интерфейс:
eth0 - это локальная сеть
eth1 - это выход в интернет
Такое назначение портов не моя идея, это так описано в примере из сети.

Так вот у меня в голове не укладывается как пакеты с источником из 192.168.0.0/24 могут приходить с порта (eth1) интернета на порт (eth0) локальной сети, и пакеты исходящие с порта (eth0) локальной сети на порт (eth1) интернета с адресом назначения из сети 192.168.0.0/24.
На мой взгляд должно быть наоборот.

Спросить - стыд минуты, не узнать - стыд всей жизни

2 (23.08.2019 19:23:48 отредактировано bormant)

Здесь и есть наоборот.
-i — это input, входящий интерфейс
-o — это output, исходящий интерфейс
-s — это source, адрес источника
-d — это destination, адрес назначения

iptables \
-A FORWARD \ # добавить правило в цепочку FORWARD
\ если:
-i eth0 \ # пакет пришёл с eth0
-o eth1 \ # уйдет на eth1 после решения о маршрутизации
-s 192.168.0.0/24 \ # в заголовке имеет источником адрес из этой сети
-j ACCEPT # то разрешить прохождение такого пакета

Дальше по аналогии
*** Добавлено: 23.08.2019 19:27:42 ***

Осталось непонятное что-то?

3 (23.08.2019 20:12:09 отредактировано lone_wolf)

Да всё понятно теперь. Я просто запутался в 3 соснах.

bormant пишет:

-i — это input, входящий интерфейс
-o — это output, исходящий интерфейс
-s — это source, адрес источника
-d — это destination, адрес назначения

Да это я понимаю. Блин что-то я переутомился походу. Просто я не учел почему-то что сеть 192.168.0.0/24 это вообще "третий инерфейс" с которого приходит пакет на шлюз.

Спросить - стыд минуты, не узнать - стыд всей жизни

4 (23.08.2019 21:57:22 отредактировано ValentinK)

Если стоит KDE, можно использовать команду

 Консоль:
firewall-config

Fedora 35 KDE.
Linux is great and super! Long live rock'n'roll! Opera and libretto.
По-русски калинка-малинка моя! Люблю оливье и винегрет.
Yours sincerely, wasting away! Salute people!