Sziasztok!
Van egy gépem, amely eddig routerként működött, két interface-el. Most a belső interface-en két VLAN-t állítottam be, így most már 3 interface-em van:
interface-ek:
vlan1: 10.0.0.0/8
vlan2: 1.2.3.4/24
eth1: 1.2 7.8/30
A kernelben a forwarding be van kapcsolva.
Amit szeretnék:
- vlan2 és eth1 között routolás, csomagszűrés (ez már megy, a csomagok a filter tábla FORWARD láncán közlekednek, ott szűrve vannak)
- vlan1 és vlan2 között routolás (ez is megy, mindkét szubnetből pingelhető a másik, ehhez nem állítottam semmit. Ugyanúgy a FORWARD láncon megy, ugyanazokkal a csomagszűrő szabályokkal, mint az előbbi)
- vlan1 és eth1 között SNAT, tehát szeretném ha vlan1 kilátna az internetre.
Ami nekem nem világos, az az, hogy ha a nat tábla POSTROUTING láncába felveszem, hogy az eth1 kimenő interface-re SNAT-ot kérek, akkor ez nem fogja bezavarni a fent leírt 2 routolási beállítást?
Honnan tudja az iptables, hogy a filter táblán és FORWARD láncon, vagy pedig nat táblán és PREROUTING, majd POSTROUTING láncon haladjon a csomag? Talán abból, hogy az egyik oldalon privát szubnet van?
És mégegy kérdés, hol tudom szűrni a NAT-on keresztül haladó csomagokat? Szintén a POSTROUTING-ban?
Előre is köszönöm a segítségeteket!
Petya