作者 主題: NAT只要給部分電腦上網?  (閱讀 3943 次)

0 會員 與 1 訪客 正在閱讀本文。

Rachel

  • 懷疑的國中生
  • **
  • 文章數: 67
    • 檢視個人資料
NAT只要給部分電腦上網?
« 於: 2002-05-22 09:54 »
各位學長:
我做一個NAT主機,但是我只想給八部電腦上網,設定是不是如下列:
iptables -t nat -A POSTROUTING -o 192.168.0.1-8/24 -j MASQUERADE
我不想用切mask的方法,因為我可能隨時會增加可上網電腦,而且區域網路中若有人懂設定方法,它可以設定其他IP,那有沒有設限還不是一樣。
另一個問題是如何防止區網中有人再架一部NAT呢?因為這樣會多好幾部電腦上網,會拖垮網路速度。
謝謝

kenny

  • 訪客
NAT只要給部分電腦上網?
« 回覆 #1 於: 2002-05-22 10:18 »
或許試試將 subnet 改為﹕

192.168.0.0/29

如果不在同一個 subnet 裡面﹐就打八行命令吧。

關於 subnet 的設定﹐請參考﹕
http://www.study-area.org/network/network_ipadd.htm

myz

  • 活潑的大學生
  • ***
  • 文章數: 433
    • 檢視個人資料
NAT只要給部分電腦上網?
« 回覆 #2 於: 2002-05-22 10:38 »
iptables可否限制MAC address呢?

kenny

  • 訪客
NAT只要給部分電腦上網?
« 回覆 #3 於: 2002-05-22 10:51 »
可以的﹐HOWTO 裡面有說。

除了 MAC﹐還可以限制 UID 呢﹗

Rachel

  • 懷疑的國中生
  • **
  • 文章數: 67
    • 檢視個人資料
NAT只要給部分電腦上網?
« 回覆 #4 於: 2002-05-22 11:02 »
因為有可能隨時增加電腦,所以才不太想用切mask的方法,不然每一台電腦去變更實在會暈倒,不用MAC Address的原因是無法收集到每一台電腦的MAC,所以只好像Netman學長說的,打八行命令了。
會這樣想是因為在HOWTO中有看到
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8-5.6.7.10
所以才想這樣做,那如果打八行後,應該不需要再打任何指令阻止其他電腦上網吧?
謝謝

kenny

  • 訪客
NAT只要給部分電腦上網?
« 回覆 #5 於: 2002-05-22 11:18 »
那是 DNAT 的做法﹐是否使用於 -s 和 -d 我就不清楚了﹐既然您實作了﹐不妨和大家分享一下結果吧。

另外﹐前面所提的 subnet ﹐不一定要在內部的 LAN 那樣玩﹐只是在規則設定的時候可以適用而已。

Rachel

  • 懷疑的國中生
  • **
  • 文章數: 67
    • 檢視個人資料
NAT只要給部分電腦上網?
« 回覆 #6 於: 2002-05-25 10:22 »
Netman學長:
那個192.168.0.1-192.168.0.4的果然不行,他好像只能針對DNAT的部分,所以只好慢慢打八行指令了.
謝謝

kenny

  • 訪客
NAT只要給部分電腦上網?
« 回覆 #7 於: 2002-05-25 12:12 »
寫一個 for 迴圈可能比較快﹕

for IP in 1 2 3 4 5 6 7 8
do
     iptables -t nat -A POSTROUTING -o 192.168.0.${IP} -j MASQUERADE
done

ninja

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
Re: NAT只要給部分電腦上網?
« 回覆 #8 於: 2002-05-28 13:19 »
引述: "Rachel"
各位學長:
我做一個NAT主機,但是我只想給八部電腦上網,設定是不是如下列:
iptables -t nat -A POSTROUTING -o 192.168.0.1-8/24 -j MASQUERADE
我不想用切mask的方法,因為我可能隨時會增加可上網電腦,而且區域網路中若有人懂設定方法,它可以設定其他IP,那有沒有設限還不是一樣。
另一個問題是如何防止區網中有人再架一部NAT呢?因為這樣會多好幾部電腦上網,會拖垮網路速度。
謝謝


利用dhcp呢?
range設定只有8台

kenny

  • 訪客
NAT只要給部分電腦上網?
« 回覆 #9 於: 2002-05-28 13:28 »
dhcp 是沒有用的。

任何一個人都可以自己設一個 dhcp range 中的 IP 。至於防止別人再做 NAT 是不太可能的(您希望 ISP 也這樣對方您嗎﹖)。