Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: iptables nat mac  (Прочитано 2063 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн censor

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
iptables nat mac
« : 21 Январь 2011, 18:32:09 »
(Нажмите, чтобы показать/скрыть)
задача выпустить в интернет компьютер в локальной сети ограничив доступ в глобальную сеть только протоколами TCP и ICMP и портами для TCP 80, 443 и 5190

что в правилах лишнее, каких правил может не хватает?
« Последнее редактирование: 21 Январь 2011, 18:39:33 от censor »

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: iptables nat mac
« Ответ #1 : 21 Январь 2011, 19:29:03 »
клиентов за шлюзом много?

Оффлайн censor

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables nat mac
« Ответ #2 : 21 Январь 2011, 20:13:58 »
неа, один возможно 2.
клиенты виндовые, ip получают динамически, нужным клиентам раздаются статические маршруты.

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: iptables nat mac
« Ответ #3 : 21 Январь 2011, 20:31:08 »
ну тут особо не добавить не убавить. проверку MAC адресов я бы организовывал во вложенной цепочке

iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -m state --state INVALID -j DROP
iptables -t filter -N CHECKMAC
iptables -t filter -A FORWARD -i eth0 -j CHECKMAC
iptables -t filter -I CHECKMAC -i eth0 -m mac --mac-source 00:17:31:81:7e:72 -j RETURN
iptables -t filter -I CHECKMAC -i eth0 -m mac --mac-source 00:17:31:81:77:72 -j RETURN
iptables -t filter -A CHECKMAC -j DROP

iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED,DNAT -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p tcp -m multiport --dports 80,443,5190 -m state --state NEW -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.75.31.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.75.31.0/24 -o eth1 -j MASQUERADE
« Последнее редактирование: 21 Январь 2011, 21:10:58 от Unreg »

Оффлайн censor

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables nat mac
« Ответ #4 : 21 Январь 2011, 20:49:07 »
даст выигрыш в скорости обработки или удобсво управления?

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: iptables nat mac
« Ответ #5 : 21 Январь 2011, 20:57:16 »
удобство управления

Пользователь решил продолжить мысль 21 Январь 2011, 21:10:36:
-m conntrack --ctstate DNAT можно добавить "на вырост" таблицы NAT
« Последнее редактирование: 21 Январь 2011, 21:10:36 от Unreg »

 

Страница сгенерирована за 0.125 секунд. Запросов: 24.