MF
Если P FORWARD ACCEPT. То ходит все как нужно
Size: a a a
2020 October 22
D
Ага, есть логика. Есть возможность синхронизировать списки?
@maxfetcher тут
MF
Ага, есть логика. Есть возможность синхронизировать списки?
Разве что, как говорят отдельным говно скриптом.
А по сути в CoA летят все адреса, что на первый сервер, что на второй.
А по сути в CoA летят все адреса, что на первый сервер, что на второй.
MK
а от ната можно избавиться подобны образом:
iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -j RETURN
iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -j RETURN
D
Разве что, как говорят отдельным говно скриптом.
А по сути в CoA летят все адреса, что на первый сервер, что на второй.
А по сути в CoA летят все адреса, что на первый сервер, что на второй.
Другого тут не дано, или правила менять или синкать скриптом списки на двух брасах
MK
Разве что, как говорят отдельным говно скриптом.
А по сути в CoA летят все адреса, что на первый сервер, что на второй.
А по сути в CoA летят все адреса, что на первый сервер, что на второй.
Есть задача не пускать внутрисеть тем, у кого нет интернета?
MK
Другого тут не дано, или правила менять или синкать скриптом списки на двух брасах
А смысл?
Если закрыт форвард для конкретного IP, то он не пройдёт ни в интернет ни на соседний сервер.
Если закрыт форвард для конкретного IP, то он не пройдёт ни в интернет ни на соседний сервер.
MF
Есть задача не пускать внутрисеть тем, у кого нет интернета?
Да. На префиксы нельзя, т.к. клиент оплачивает одно подключение и получает доступ к двум другим по этим правилам.
-A FORWARD -m set --match-set allowed src -j ACCEPT
-A FORWARD -m set --match-set allowed dst -j ACCEPT
По-этому префиксы я исключаю. И разрешаю междусобойчик тем кто только в списках.
-A FORWARD -m set --match-set allowed src -j ACCEPT
-A FORWARD -m set --match-set allowed dst -j ACCEPT
По-этому префиксы я исключаю. И разрешаю междусобойчик тем кто только в списках.
MK
Да. На префиксы нельзя, т.к. клиент оплачивает одно подключение и получает доступ к двум другим по этим правилам.
-A FORWARD -m set --match-set allowed src -j ACCEPT
-A FORWARD -m set --match-set allowed dst -j ACCEPT
По-этому префиксы я исключаю. И разрешаю междусобойчик тем кто только в списках.
-A FORWARD -m set --match-set allowed src -j ACCEPT
-A FORWARD -m set --match-set allowed dst -j ACCEPT
По-этому префиксы я исключаю. И разрешаю междусобойчик тем кто только в списках.
Ну, тогда только это:
iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -j RETURN
уберётся НАТ между серыми адресами внутри сети
только это на обоих серверах сделать нужно.
iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -j RETURN
уберётся НАТ между серыми адресами внутри сети
только это на обоих серверах сделать нужно.
MF
Другого тут не дано, или правила менять или синкать скриптом списки на двух брасах
Понял, думал может как-то по-другому кто-то выходит.
Ⓜ
Суть в чем на первом сервере в списке allowed присутствуют только те кто на этом сервере.
И это правило их не пропускает.
-A FORWARD -m set --match-set allowed src -m set --match-set allowed dst -j ACCEPT
И это правило их не пропускает.
-A FORWARD -m set --match-set allowed src -m set --match-set allowed dst -j ACCEPT
поэтому я и добавил то правило, чтобы исключить эту ситуацию
Ⓜ
а от ната можно избавиться подобны образом:
iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -j RETURN
iptables -t nat -I POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -j RETURN
либо так
Ⓜ
-A FORWARD -m set --match-set allowed src ! -m set --match-set internal_networks dst -j ACCEPT вот тут для чего восклицательный знак?
MK
Суть в чем на первом сервере в списке allowed присутствуют только те кто на этом сервере.
И это правило их не пропускает.
-A FORWARD -m set --match-set allowed src -m set --match-set allowed dst -j ACCEPT
И это правило их не пропускает.
-A FORWARD -m set --match-set allowed src -m set --match-set allowed dst -j ACCEPT
А если это правило разделить на два: только для исхода и только для входа.
Чтобы другая сторона была любой.
Или задача стоит именно только между хостами из перечня разрешить?
Чтобы другая сторона была любой.
Или задача стоит именно только между хостами из перечня разрешить?
Ⓜ
Да. На префиксы нельзя, т.к. клиент оплачивает одно подключение и получает доступ к двум другим по этим правилам.
-A FORWARD -m set --match-set allowed src -j ACCEPT
-A FORWARD -m set --match-set allowed dst -j ACCEPT
По-этому префиксы я исключаю. И разрешаю междусобойчик тем кто только в списках.
-A FORWARD -m set --match-set allowed src -j ACCEPT
-A FORWARD -m set --match-set allowed dst -j ACCEPT
По-этому префиксы я исключаю. И разрешаю междусобойчик тем кто только в списках.
вот тут вы правильные правила описали, их и оставьте
Ⓜ
а на вход надо все ip разрешить да и всё
Ⓜ
локальные
Ⓜ
отбрасывать будет тот сервер на котором неуплата
Ⓜ
а то у вас получается если клиент не оплатил но попал на одинаковый сервер то связь будет все равно
MF
Ⓜ️ax
вот тут вы правильные правила описали, их и оставьте
Разрешенные клиенты из первого сервера получает доступ к пулу второго и тем кто заблокирован ? Это правильно по вашему ?