Фильтрация транзитного трафика по mac адресу с использыванием iptables (решено)

[IahrimanI]

Показывает вот такой вывод:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Mon Aug 25 13:18:06 2014
*nat
:PREROUTING ACCEPT [178386:12987715]
:INPUT ACCEPT [63934:5141746]
:OUTPUT ACCEPT [76487:4720764]
:POSTROUTING ACCEPT [76537:4723907]
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Aug 25 13:18:06 2014
# Generated by iptables-save v1.4.12 on Mon Aug 25 13:18:06 2014
*filter
:INPUT ACCEPT [2152124:1136399396]
:FORWARD ACCEPT [365:56748]
:OUTPUT ACCEPT [2412154:1842879986]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-un   reachable
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Aug 25 13:18:06 2014

Пользователь решил продолжить мысль 25 Августа 2014, 14:23:18:Дело в том что счас я не могу проверить настройки правил, люди работают в 1С и подключены к интернету, если что то пойдёт не так, до меня доберутся очень быстро 

[AnrDaemon]

У вас что, нет виртуальной машины с копией рабочей системы? Займитесь этим сейчас, пока люди работают.
Сэкономите себе кучу времени в будущем.

[IahrimanI]

Спасибо, послушаю Вашего совета. Качаю clone zilla

[fisher74]

Код: [Выделить]

#Запрещаем все соединения
iptables -t filter -P FORWARD DROP
и

Код: [Выделить]

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
Второе делает меньше, но не больше чем первое.

Код: [Выделить]

#Разрешаем доступ по определённым мак адресам
iptables -t filter -A FORWARD  -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Где здесь мак-адрес?

Код: [Выделить]

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Это правило делает меньше, но не больше предыдущего

Код: [Выделить]

#Разрешаем доступ это mac адрессу 00:0F:E9:40:F9:0F
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE
Если разговор ведётся исключительно про один хост, то можно плюнуть на принципы использования таблиц и отфильтровать мак-адрес в правиле маскарада:

Код: [Выделить]

iptables -t nat -A POSTROUTING  -m mac --mac-source 00:0F:E9:40:F9:0F -o eth0 -j MASQUERADE

[IahrimanI]

Если разговор ведётся исключительно про один хост, то можно плюнуть на принципы использования таблиц и отфильтровать мак-адрес в правиле маскарада:
iptables -t nat -A POSTROUTING  -m mac --mac-source 00:0F:E9:40:F9:0F -o eth0 -j MASQUERADE

Нет, дело в том что нужно никого не пускать кроме определённых mac адресов.

Пользователь решил продолжить мысль 25 Августа 2014, 15:45:31:2 fisher74

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

# Запрещаем HTTP через NAT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT

#Разрешаем доступ из внутренней сети наружу определённым адресам
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:40:F9:0F -j ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:50:F9:0F -j ACCEPT
iptables -t filter -A FORWARD  -m mac --mac-source 00:0F:E9:60:F9:0F -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT


Подскажите так будет работать, к сожалению мне уже нужно решение иначе я бы не играл в "угадай мелодию", извиняюсь если что то не так...

[fisher74]

Будет, но не так как Вам хочется.
В первый раз было лучше. Избыточно, но лучше