Iptables блокировка онлайн игр

[CynicRus]

Доброго времени суток господа. Имеется - шлюз, с большим количеством интерфейсов. Eth2 - внешний с инетом, eth0 - одна из локалок. У eth0 - адресация 192.168.11.x, известно что 192.168.11.251 - часто играется в онлайн игрушки. Каким образом для одного этого ip - оставить лишь несколько открытых tcp портов?

[terrible_user]

Закрыть все остальные и оставить только несколько открытых разрешенных.

Не серьезно, но еще вы бы выложили текущие правила, как там у вас сделано - разрешено все и всем, разрешено все что не запрещено, запрещено все что не разрешено?
Если это не секрет.

[CynicRus]

Вот таким образом оно функционирует сейчас:

Код: [Выделить]

iptables --flush

iptables --table nat --flush

iptables --table mangle --flush

iptables --delete-chain

iptables --table nat --delete-chain
iptables -A INPUT -i lo -j ACCEPT
#iptables -P INPUT ACCEPT
#iptables -P FORWARD DROP
#WebRes
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 42424,8009,8010,1434,1954
#vnc
iptables -A INPUT -i eth0 -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,25,110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 4200 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 11777 -j DROP
iptables -A INPUT -i eth2 -p udp --dport 11777 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 11777 -j DROP
iptables -A INPUT -m iprange --src-range 31.25.225.0-31.25.255.255 -j DROP
iptables -A INPUT -m iprange --src-range 31.25.224.0-31.25.224.255 -j DROP
iptables -A INPUT -m iprange --src-range 173.57.102.0-173.57.102.255 -j DROP
iptables -t filter -A INPUT -i eth0 -p udp -m multiport --dport 11777,60659 -j DROP
#откроем радминовский порт
iptables -A INPUT -i eth2 -p tcp --dport 4899 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp -m multiport --dport 4900,4901,4903,4904,3434 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 5938 -j DROP
iptables -A INPUT -i eth2 -p tcp -m multiport --dport 13389,44082,891,944,571,838 -j ACCEPT
#for restaurant
iptables -A INPUT -i eth2 -p tcp -m multiport --dport 12001,12002,12003,12004,12005,12006,12007,12008,12009,12010 -j ACCEPT
#iptables -A FORWARD -i eth0 -s 192.168.11.205 -o eth2 -j DROP
#iptables -A FORWARD -i vlan2 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.11.1-192.168.11.99 -m multiport --dport 80,8080,5190 -j DROP
#iptables -A FORWARD -p tcp -s 192.168.11.132 -m multiport --dport 80,8080,5190 -j DROP
#iptables -A FORWARD -i vlan3 -o eth2 -j ACCEPT
#iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.100-192.168.11.204 -o eth2 -j  ACCEPT
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.100-192.168.11.254 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.250-192.168.11.253 -p udp -m multiport --dport 11777,60659 -j DROP
#интернет-кафе
iptables -A FORWARD -i eth3 -o eth2 -j ACCEPT
#делаем недоступными локалку Веги от инет кафе.
iptables -A FORWARD -i eth3 -o eth0 -j DROP
iptables -A FORWARD -i eth0 -o eth3 -j DROP
#разрешаем общение с кассой
iptables -A FORWARD -i eth3 -s 10.0.0.2 -o eth0 -d 192.168.11.150 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.11.150 -o eth3  -d 10.0.0.2 -j ACCEPT
#режем скорость в инет-кафе
#iptables -A INPUT -p tcp -i eth3 -m iprange --src-range 10.0.0.2-10.0.0.99
#ресторан
iptables -A FORWARD -i eth4 -o eth2 -j ACCEPT
# NAT
#Проброс Радмина
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4899 -j DNAT --to-destination 192.168.11.7:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4900 -j DNAT --to-destination 192.168.11.33:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4901 -j DNAT --to-destination  192.168.11.210:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4903 -j DNAT --to-destination 192.168.11.6:4899
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 4904 -j DNAT --to-destination 192.168.11.112:4899
#WebRes
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 8010 -j DNAT --to-destination 192.168.11.7:8010
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 8009 -j DNAT --to-destination 192.168.11.7:8009
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 1434 -j DNAT --to-destination 192.168.11.7:1434
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 1954 -j DNAT --to-destination 192.168.11.7:1954
#проброс ресторана

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 13389 -j DNAT --to-destination 192.168.210.2:13389
iptables -t nat -A PREROUTING -p tcp -d 192.168.210.1 --dport 3434 -j DNAT --to-destination 192.168.11.210:3434
#опять для ресторана
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12001 -j DNAT --to-destination 192.168.210.2:12001
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12002 -j DNAT --to-destination 192.168.210.2:12002
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12003 -j DNAT --to-destination 192.168.210.2:12003
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12004 -j DNAT --to-destination 192.168.210.2:12004
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12005 -j DNAT --to-destination 192.168.210.2:12005
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12006 -j DNAT --to-destination 192.168.210.2:12006
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12007 -j DNAT --to-destination 192.168.210.2:12007
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12008 -j DNAT --to-destination 192.168.210.2:12008
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12009 -j DNAT --to-destination 192.168.210.2:12009
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 12010 -j DNAT --to-destination 192.168.210.2:12010
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 1494 -j DNAT --to-destination 192.168.11.165:1494
#РїСЂРѕР±СЂРѕСЃ r-keeper
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 3434 -j DNAT --to-destination 192.168.11.210:3434
#iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2598 -j DNAT --to-destination 192.168.11.165:2598
#Проброс кассы из инет кафе
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.1 --dport 5900 -j DNAT --to-destination 192.168.11.150:5900
#iptables -A FORWARD -i eth2 -d 192.168.210.2 -p tcp --dport 13389 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.11.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.210.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.150 --dport 5900 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.210.0/24 -d 192.168.210.2 -m multiport --dport 13389,12001,12002,12003,12004,12005,12006,12007,12008,12009,12010,3434 -j SNAT --to-source 192.168.210.1
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d  192.168.11.7 -m multiport --dport 4899,8010,8009,1434,1954 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.112 -m multiport --dport 4899,4904 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.33 -m multiport --dport 4899,4900 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.210 -m multiport --dport 4899,4901,3434 -j SNAT --to-source 192.168.11.254
iptables -t nat -A POSTROUTING -p tcp -s 192.168.11.0/24 -d 192.168.11.6 -m multiport --dport 4903,4899 -j SNAT --to-source 192.168.11.254
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -i eth2 -o eth0 -j REJECT
iptables -A FORWARD -i eth3 -o eth0 -d 192.168.11.150 -p tcp --dport 5900 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.7 -p tcp --dport 4899 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.33 -p tcp -m multiport --dport 4899,4900 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.210 -p tcp -m multiport --dport 3434,4899,4901 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.7 -p tcp -m multiport --dport 4903,4899,8009,8010,1433,1434,1954 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth4 -d 192.168.210.2 -p tcp -m multiport --dport 13389,12001,12002,12003,12004,12005,12006,12007,12008,12009,12010 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.11.112 -p tcp -m multiport --dport 4899,4904 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth0 -d  192.168.11.0/24 -p tcp -m multiport --dport 1465 -j DNAT --to 192.168.11.254:22
#iptables -A FORWARD -s  192.168.11.251 -d -m iprange --src-range 31.25.224.1-31.25.224.255 -j DROP
iptables -A OUTPUT -o eth2 -p udp --sport 11777 -j DROP
iptables -A OUTPUT -o eth0 -p udp --sport 11777 -j DROP

[terrible_user]

Полагаю нужно вставить 2 правила -- сперва список разрешенных потом все остальное дропать

Код: [Выделить]

### ads
iptables -A FORWARD -i eth0 -s 192.168.11.251 -o eth2 -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.11.251 -o eth2 -p tcp -j DROP
###
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.100-192.168.11.254 -o eth2 -j ACCEPT
#
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.250-192.168.11.253 -p udp -m multiport --dport 11777,60659 -j DROP
iptables -A FORWARD -i eth0 -o eth3 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.11.150 -o eth3  -d 10.0.0.2 -j ACCEPT
###

Я еще позволю себе дать вам совет:
В скрипте все INPUT'ы FORWARD'ы  PREROUTING и .т.п. сгруппировать получше - а то немного разбросано
а между всеми FORWARD так же их упорядочить по -i интерфейсам а то у вас сначала eth2 потом eth3 снова eth2
Это так для удобства чтения, чтобы не запутаться

P/s: В курсе что это правило

Код: [Выделить]

iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.11.250-192.168.11.253 -p udp -m multiport --dport 11777,60659 -j DROPбудет распространяется на все интерфейсы кроме eth2

[CynicRus]

Сработало, благодарствую.

Относительно группировки - так и сделано в рабочем, это так сказать - отладочная версия.

Да, в курсе.