iptables + vlan + ограничение доступа

[CynicRus]

Доброго времени суток господа.
И так имеется - Ubuntu server 10.04 в качестве шлюза,2 физических интерфейса eth0(во внутрь), eth2 в инет. На eth0 - 2 vlan: vlan2 - собственно локалка предприятия, vlan3 - ещё 1 локалка с доступом в нет. Требуется - обрубить доступ в инет диапазаону IP vlan2 от 192.168.11.1-192.168.11.99 средствами IPTables.

На данный момент правила выглядят следующим образом:

Код: [Выделить]

#!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables --table nat --flush
iptables --table mangle --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -A INPUT -i lo -j ACCEPT
#iptables -A FORWARD -i vlan2 -o eth2 -j ACCEPT
iptables -A FORWARD -i vlan3 -o eth2 -j ACCEPT
iptables -A INPUT -p tcp -m iprange --src-range 192.168.11.1-192.168.11.99 -m multiport --dport 80,8080 -j DROP
#iptables -A FORWARD -p tcp -i vlan2 -m iprange --src-range 192.168.11.3-192.168.11.99 -o eth2 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -i vlan2 -m iprange --src-range 192.168.11.100-192.168.11.254 -o eth2 -j ACCEPT
# NAT
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.11.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 10.1.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o vlan2 -j REJECT
iptables -A FORWARD -i eth2 -o vlan3 -j REJECT
 

И как бы....Вообщем вообще никак. Инет как был на диапазоне до сотки, так и есть.

вывод iptables -vnL

Код: [Выделить]

Chain INPUT (policy ACCEPT 1198K packets, 187M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   100 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           source IP range 192.168.11.1-192.168.11.99 multiport dports 80,8080

Chain FORWARD (policy ACCEPT 630K packets, 102M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  vlan3  eth2    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  vlan2  eth2    0.0.0.0/0            0.0.0.0/0           source IP range 192.168.11.100-192.168.11.254
46143   52M ACCEPT     all  --  eth2   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 REJECT     all  --  eth2   vlan2   0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    0     0 REJECT     all  --  eth2   vlan3   0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 905K packets, 101M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Заранее благодарен за помощь.

[fisher74]

У Вас в цепочке FORWARD дефолтное действие ACCEPT,  а значит всё ходит везде и вся без ваших разрешающих правил.
Либо

Код: [Выделить]

sudo iptables -P FORWARD DROPЛибо меняйте копцепцию правил в этой цепочки с разрещающих на запрещающие

[CynicRus]

Спасибо,
сделал iptables -A FORWARD -p tcp -m iprange --src-range 192.168.11.1-192.168.11.99 -m multiport --dport 80,8080 -j DROP
первым правилом цепочки, и всё встало на круги своя