Настройка правил iptables шлюза

[Dmitrix]

Помогите с настройками сети, у меня есть шлюз serv который через нат раздает интернет для локальной сети нескольких машины.
serv имеет 2 сетевых интерфейса
serv
eth1 192.168.1.10/24 смотрит в локальную сеть
eth0 192.168.0.10/24 смотрит в локальную сеть
имеет шлюз gtw выхода в интернет 192.168.0.1

клиенты client0 в сети 192.168.0.0 они выходят в интернет через gtw 192.168.0.1
клиенты client1 в сети 192.168.1.0 в качестве шлюза используют serv 192.168.1.10, но доступ запрещен всем кого я не внёс в правило snat

некоторые client1 должны иметь выход в интернет, всем остальным доступ должен быть закрыт.
пример правила для выхода в интернет client1, которые я использую в текущий момент.
iptables -t nat -A POSTROUTING -s 192.168.1.203 -j SNAT --to-source 192.168.0.10

как разрешить всем пользователям client1 обмениваться данными с client0 через serv, сохраняя ограничение на выход в интернет?

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=107492.0
Читать первый пост полностью.

[fisher74]

AnrDaemon, Вы не дочитали поставленную задачу...

Вообще таблица nat должна работать только для трянсляции, а для точечной или групповой фильтрации применяют таблицу filter.

(Нажмите, чтобы показать/скрыть)

Чего-то лень сегодня "молодёжь" уму-разуму учить, а дай-ка сделаю непедагогично....

Один из методов индивидуально-групповой фильтрации - создание пользовательской цепочки с говорящим названием в таблице filter, например, таким образом

Код: [Выделить]

sudo iptables -P FORWARD DROP   ///  политика по-умолчанию: всех проходящих мимо слать в дроп
sudo iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10 /// nat-им всё что лезет с этого интерфейса
sudo iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT   /// не забываем разрешить бегать пакетам установленных соединений
sudo iptables -N internet_users   ///  добавляем пользовательскую цепочку
sudo iptables -A internet_users -s 192.168.1.203 -j ACCEPT   /// добавляем туда IP-ы правильных пользователей
sudo iptables -A internet_users -s 192.168.1.101 -j ACCEPT
...
sudo iptables -A FORWARD -j internet_users   ///  пускаем пакеты из цепочки FORWARD через пользовательскую

Но тут не учтено условие, которе не озвучено: должны ли пользователи сетей видеть друг друга

[AnrDaemon]

Я дочитал, и даже дважды перечитал.
Но я так и не увидел ни ip a, ни ip r, ни iptables-save.
А исходные данные, предоставленные ТС, сами с собой не стыкуются.

[Dmitrix]

Я дочитал, и даже дважды перечитал.
Но я так и не увидел ни ip a, ни ip r, ни iptables-save.
А исходные данные, предоставленные ТС, сами с собой не стыкуются.

Я уже не знаю как еще более подробно объяснить, вот схема


Пользователь добавил сообщение 19 Декабря 2016, 08:47:58:

AnrDaemon, Вы не дочитали поставленную задачу...

Вообще таблица nat должна работать только для трянсляции, а для точечной или групповой фильтрации применяют таблицу filter.

(Нажмите, чтобы показать/скрыть)

Чего-то лень сегодня "молодёжь" уму-разуму учить, а дай-ка сделаю непедагогично....

Один из методов индивидуально-групповой фильтрации - создание пользовательской цепочки с говорящим названием в таблице filter, например, таким образом

Код: [Выделить]

sudo iptables -P FORWARD DROP   ///  политика по-умолчанию: всех проходящих мимо слать в дроп
sudo iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10 /// nat-им всё что лезет с этого интерфейса
sudo iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT   /// не забываем разрешить бегать пакетам установленных соединений
sudo iptables -N internet_users   ///  добавляем пользовательскую цепочку
sudo iptables -A internet_users -s 192.168.1.203 -j ACCEPT   /// добавляем туда IP-ы правильных пользователей
sudo iptables -A internet_users -s 192.168.1.101 -j ACCEPT
...
sudo iptables -A FORWARD -j internet_users   ///  пускаем пакеты из цепочки FORWARD через пользовательскую

Но тут не учтено условие, которе не озвучено: должны ли пользователи сетей видеть друг друга

да, должно быть что то вроде цепочки, на микротике у меня получилось сделать список ip для фаервола которым разрешено выходить в инет, попытаюсь такое же сделать на линуксе.

[fisher74]

Ну значит добавляем

Код: [Выделить]

sudo iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

[Dmitrix]

Ну значит добавляем

Код: [Выделить]

sudo iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

Примите официальную благодарность от всего нубского сообщества! всё отлично подошло, хорошо работает и главное в тему! =)
такое редко на форумах бывает.

[AnrDaemon]

Если бы вы сразу прочли указанный мною топик и сразу предоставили запрошенную в нём диагностику, ответ был бы ещё вчера.

[Dmitrix]

Если бы вы сразу прочли указанный мною топик и сразу предоставили запрошенную в нём диагностику, ответ был бы ещё вчера.

это какую такую диагностику надо было еще предоставить? 
в той статье что вы дали про пользовательскую цепочку ни слова, там про то как настроить самый простой шлюз для раздачи интернета.

[AnrDaemon]

Для слепых... (59509b)