Доступ в Интернет только доверенным MAC-адресам при использовании NAT

[censor]

дроп идет после контрака и отрабатывает только в случае если пакет не попал под действие предыдущего правила.
я в дефолтной политике дроп тоже не ставлю, у меня в последнем правиле указан интерфейс и реджект.

[eserden]

т.е. если я вас правильно понимаю. то политику DROP я убираю.
Получается что то вроде:

iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate DNAT,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -i ppp0 -o eth1 -j DROP
iptables -t filter -A FORWARD -i ppp+ -o eth1 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o ppp0 -m mac --mac-source C4:46:19:5A:8A:46 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 1C:65:9D:23:AB:AE -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 14:d6:4d:ea:4b:5b -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:18:f3:f2:c4:15 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o ppp0 -m mac --mac-source 78:d6:f0:9f:e1:a3 -j ACCEPT

....
я так понимаю что еще  нужно добавить:

Код: [Выделить]

iptables -A FORWARD -i eth1 -o ppp0  -j DROP
iptables -A FORWARD -i eth1 -o ppp+ -j ACCEPT

[ArcFi]

Правила лучше грузить через iptables-save/iptables-restore.

[eserden]

Чем ?

[fisher74]

т.е. если я вас правильно понимаю. то политику DROP я убираю.

Нет, Вы неправильно понимаете. Чем она Вам помешала?
Я Вам чётко показал, что надо добавить и куда. Иная последовательность будет работать по иному.

P.S. Хотя моё предложение далеко не единственное решение.

[koshev]

Чем ?

Например так

Код: (text) [Выделить]

auto lo
iface lo inet loopback
      up iptables-restore </path/to/iptables.dump
      down iptables-save >/path/to/iptables.dump

[fisher74]

Код: (text) [Выделить]

      up iptables-restore </path/to/iptables.dump
      down iptables-save >/path/to/iptables.dump

Со всем уважением, но, ИМХО, сохранение текущих правил в файл из которого будут восстановлены при загрузке - не лучшее решение, особенно, для новичков экспериментаторов. Закосячил в таблесах передёрнул кабель (или ребутнул) - а проблема не исчезла... Лучше уж в другой файл (например с датой и временем в названии), чтобы можно было легко откатиться.
Но на вкус и на цвет...

[AnrDaemon]

Лучше уж в другой файл (например с датой и временем в названии), чтобы можно было легко откатиться.
Но на вкус и на цвет...

А это, КСТАТИ, идея...

[fisher74]

Именно в той реализации, что складывается по последним постам топика, у этой идеи есть серьёзный изъян.
Практически бесконтрольно заполняется директория для хранения бекапов правил. Так что если кто возьмёт на вооружение учтите это.

[AnrDaemon]

Важное напоминание. Спасибо.