Mám drobnou potíž s providerem: Za firewallem na WAN straně vidím díky providerovu routování i několik jeho sítí z neveřejného rozsahu. Nemělo by to být, ale je to tak. Bohužel jedna ze sítí koliduje s mým vnitřním adresovým prostorem. Správně nastavené routování a NAT by to mělo vyřešit, ale i tak se obávám problémů.
Přemýšlel jsem, že preventivně udělám drop na WAN interface na celý problematický subnet.
Jenomže pokus o add action=drop chain=input disabled=no dst-address=192.168.2.0/24 out-interface=WAN
končí chybou: Outgoing interface matching not possible in input and prerouting chains
Otázka je, zda se mám tím problémem přestat zalamovat, spoláhat na routing a NAT nebo řešit, a potom jak?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Blokování rozsahu sítě
-
Radek Úlehla
- Příspěvky: 1201
- Registrován: 17 years ago
- Kontaktovat uživatele:
1) pokud máš na WAN jedno IP a za ním NATuješ, tak to řešit nemusíš
2) když definuješ pravidlo pro input, nemůžeš mu definovat OUT-interface, musíš IN-interface
2) když definuješ pravidlo pro input, nemůžeš mu definovat OUT-interface, musíš IN-interface
0 x
fblaha píše:2) když definuješ pravidlo pro input, nemůžeš mu definovat OUT-interface, musíš IN-interface
Pravda, to mi v zápalu vášně nějak ušlo. A zaslepeně jsem to zkoušel a zkoušel a ... Děkuji za návrat na zem
0 x