iptables能用ip alias吗?

faint

在Debian版问了，不过还没有人回答。在这里问下。

root# iptables -t nat -A POSTROUTING -o eth0:1 -s 10.16.3.0/16 -j SNAT \
--to-source 192.168.1.120
Warning: weird character in interface `eth0:1' (No aliases, :, ! or *).

偶把-o eth0:1去掉了就行，是不是iptables不能用ip alias 对应的ether?

memory

还真是没这么玩过。

晨想

玩过了，，，失败，，，同样一个问题。。

只能买了一个新网卡。呵呵。。。

faint

可以的。但此时可不指定ether，应该是一样的。如果指定，也一定要物理的界面卡，因为iptables里面并没有提到eth0:0 eth0:1这些alias出来的东西。

memory

如果只是做nat，不指定接口卡应该没有什么问题。要是接在支持vlan的交换机上，通过在物理网卡上划分vlan就能解决这个问题了。

晨想

那你怎么写规则？。。不能单单说是eth0啊。或者eth+ 吧。：）。

nat也要指定一个防火墙吧。不然不就全部阻挡了？

babo

关注！

faint

规则一样写的吧。因为从物理设备上看，都只有一个ether，-i 或-o都是它。有很多的使用iptables 的服务器都是一个网卡的吧，也不是一样用iptables？

NetDC

哈哈，这个问题我在chinaunix问过，iptables目前是不支持这个的，所以我使用eth0这样的真实名。

晨想

to faint:

如果eth0:1 是内网 IP，eth0本身是外网IP。
那你怎么阻挡来自外网的连接，但是却允许内网的连接？用src-address？我没试过，我觉得似乎麻烦了一点：）。