IPTables Snat Limit для конкретной сети
Монтирование диска через / home / user / mydata НЕ удаляет ничего из существующего / home / user / mydata. Он просто «закрывает» каталог другим диском.
Если вы хотите освободить дисковое пространство из / home / user / mydata, вам необходимо вручную удалить / переместить эти файлы на новый диск перед монтированием.
Пакеты оцениваются по правилам в filter/FORWARDдо nat/POSTROUTING, как показано на этой схеме Netfilter , поэтому FORWARDпо-прежнему может видеть неизмененные исходные IP-адреса. Таким образом, нет необходимости учитывать какие-либо сложности или специальные настройки, даже NAT. Правила брандмауэра, которые нужно добавить на втором маршрутизаторе, просто:
iptables -A FORWARD -s 192.168.1.0/24 -d 234.234.234.0/23 -j REJECT
iptables -A FORWARD -s 172.16.0.0/24 -d 234.234.234.0/23 -j REJECT
Вероятно, следует рассмотреть множество вариантов, которые здесь возможны. Например. вы можете заменить -s 192.168.1.0/24на -i eth0и -s 172.16.0.0/24на -i eth1.
Обратное направление "защищено" NAT. В любом случае вам следует добавить дополнительные правила для обеспечения его соблюдения (и защиты частных сетей от внутренней сети ).но тогда вам в любом случае лучше рассмотреть реальный набор правил с отслеживанием состояния, которые могут отслеживать открытые потоки, а затем упрощают случай, когда вы хотите предоставить некоторые исключения между частными сетями и внутренней сетью для некоторых источников или назначения. Пожалуйста, проверьте различные примерыс использованиемstatefulбрандмауэра или просто найдите «iptables с сохранением состояния» (обратите внимание, что в этих примерах модульstateтеперь заменен модулемconntrackмодуль ).