Freesco, NND, CDN, EOS

Witam
Postawiłem sobie ruter na nnd. Jest on jednym z urządzeń w sieci lokalnej o adresacji 172.16.xxx.xxx, ruter na eth0 ma adres 172.16.22.22 z maska 255.255.0.0 i brama o adresie 172.16.10.1 w sieci lokalnej, z której dostaje Internet. Na eth1 o adresie 192.168.1.1 Ustawione jest automatycznie przydzielanie adresów z zakresu 192.168.1.10 do 192.168.1.200 z brama o adresie 192.168.1.1 dla hostow, które będą sie łączyły do tej sieci.
Mój problem polega na tym, aby tak skonfigurować NND, aby komputery, które dostają dhcp z eth1 nie miały dostępu do sieci 172.16.x.x prócz adresu 172.16.10.1(Który to adres jest bramą postępową rutera do Internetu.

Pozdrawiam i bardzo dziękuję za pomoc

iptables -I FORWARD -d 172.16.0.0/16 -j DROP
iptables -I FORWARD -d 172.16.10.1 -j ACCEPT

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Dziękuje za odpowiedz, ale te polecenia nie działają, nie wiem czy robię dobrze, ale wpisuje je prosto w konsoli, no chyba ze należy dodać te regułki gdzieś do jakiegoś pliku.
Pozdrawiam

Tak chodzilo mi po wpisanie ich z palca. Dziwne, bo reguly dzialac powinny. Pokaz wynik polecenia iptables -L FORWARD -n i narysuj schemat tej sieci.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Struktura sieci... schematyczna

http://img263.imageshack.us/my.php?image=siecjw3.jpg

Komunikat po wpisaniu komendy iptables -L FORWARD -n

http://img300.imageshack.us/my.php?imag ... leseh6.jpg

Powyżej źle przepisałem adres bramki... przepraszam za to ale to raczej nie robi różnicy

Wszystko wyglada prawidlowo. Spytam sie jeszcze raz, bo powoli glupieje: z kompa o adresie 192.168.1.5 dziala ping na 172.16.6.50 (zakladajac, ze takie kompy istnieja)?

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

dokałdnie z komputera któremu nnd przydzielił z dhcp adres 192.168.1.XXX jestem w stanie ping-owac wszystkie komputery w sieci za nnd np 172.16.5.10 który to jest moim 2 routerem czy 172.16.6.40
ps masz może jakiego linka do manualna o iptables albo obszerny opis.

Jesli mam byc szczery, to nie spotkalem sie jeszcze z takim przypadkiem.
Pokaz wynik polecenia traceroute -n 172.16.5.10 wpisanego z kompa o adresie 192.168.1.XXX (nie routera z NND) jesli to linux, albo tracert -d 172.16.5.10 jesli to windows.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Przepraszam za kłopot teraz wszystko jest ok... ale gdybym chciał na tym routerze udostępnić tylko połączenie http, imap, smtp, pop3 oraz VPN to jakich regułek musiałbym użyć ?.

To jeszcze napisz co bylo nie tak i jak to rozwiazales.
Co do udostepnienia uslug zrob podobnie jak w poprzednim przypadku, tylko najpierw wrzuc dropa na forward z tej sieci (rozumiem, ze te uslugi nie znajduja sie na routerze z nnd, tylko dalej), a pozniej accept na forward poszczegolnych uslug z tej sieci.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

V
V
V
V
V

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Problem polegał na tym, że to nie ja podłączałem ten sprzęt tylko zleciłem to tamtejszemu informatykowi, który do głównego switcha podłączył switcha, w którym wpięte były 3 główne apki oraz NND na eth1, poza tym ze względu na to ze daleko mam do tego obiektu to proszę tego informatyka o połączenie sie do tej sieci i sprawdzenie czy na pewno działa to, co ustawiłem wiec sądzę ze olał sprawę i tego nawet nie sprawdził... Przepraszam za kłopot:(.
ps. usługi działają na portach tcp/udp 80, 443, 25, 110 , 143, 1194, wiec
Wpisałem następujące regułki

iptables -I FORWARD -d 172.16.0.0/16 -j DROP

iptables -I FORWARD -d 172.16.6.100 -p tcp -m multiport 80, 443,25,110, 143,1194 -j ACCEPT

iptables -I FORWARD -d 172.16.6.100 -p udp -m multiport 80, 443,25,110, 143,1194 -j ACCEPT

Czy te regułki sa poprawne może należy to zrobić na innych łańcuchach?