|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (9)
просмотр истории страницыh1. Пример хука для XGE, суть аналогична и для других роутеров на базе Linux, которые делают NAT. |
\\ h5. На самом XGE необходимо создать/дополнить [хук|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=50660094] таким содержимым: \\ |
{code} |
|
#!/bin/bash |
|
if [ "$1" = '/etc/init.d/firewall' -a "$2" = 'start' ]; then |
MAC="00:12:34:56:78:90" # MAC-адрес с которого прилетают редиректы от редуктора, обычно совпадает с сетёвкой редуктора |
MAC="<mac-адрес>" # MAC-адрес с которого прилетают редиректы от Редуктора, обычно совпадает с mac-адресом сетевой карты Редуктора для редиректов. |
NIC="eth1" # сетевая карта роутера, на которую прилетают редиректы с редуктора iptables -t raw -F iptables -t raw -N reductor_replies &>/dev/null || true |
# Не создаём контраки с сорс-портами 53, 80, 443. |
iptables -t raw -A reductor_replies -p tcp --sport 80 -j NOTRACK iptables -t raw -A reductor_replies -p tcp --sport 443 -j NOTRACK iptables -t raw -A reductor_replies -p udp --sport 53 -j NOTRACK iptables -t raw -A PREROUTING -i "$NIC" -m mac --mac-source "$MAC" -j reductor_replies |
# не натим обращение на заглушку (при условии, что заглушка прямо на Редукторе с серой сеткой и клиенты идёт на неё с серой сети) iptables -I xge_post -t nat -d <ip адрес заглушки> -j ACCEPT |
fi |
exit 0 |
{code} |