HOWTO: Iptables для новичков

[Vetal_krot]

тоесть в моём случае нужно прописать:  iptables -A FORWARD -s 192.168.1.ххх -i eth0 -m mac --mac-source 02:23:Х5:34:65:43 -j ACCEPT
в сеть у меня сотрит eth1, значит нужно в вашем примере заменить eth0 на eth1?
И как сделать что б при не соответствии ip с mac клиент не имел доступ в интернет?

[Stiff]

Vetal_krot
Вдумчиво прочитайте мануал для начала.

в сеть у меня сотрит eth1, значит нужно в вашем примере заменить eth0 на eth1?

Логично.

И как сделать что б при не соответствии ip с mac клиент не имел доступ в интернет?

Если мак и ip не соответствует тем, что мы задали в правиле, то он не получит интернета, так как пакеты, исходящие от него не попадут под правило и будут уничтожаться (разумеется должна быть задана политика по умолчанию iptables -P FORWARD DROP)

[Vetal_krot]

на сколько я понял мне нужно:
1.Закрыть весь достут из подсетей к eth1
2.Разрешить определенным пользователям (при соответствии мак и  ір) доступ к данному интерфуйсу

Я в правильную сторону мыслю?

У меня в  iptables есть правило:
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT

на сколько я понял оно розрешает доступ к eth1 всей подсети 192.168.1.0/255, его нужно удалять? похожие правила есть для OUTPUT  и INPUT, их трогать нужно?

И еще, как по локалке узнать мак-и юзеров?

Очень надеюсь на вашу помощ

[Lion-Simba]

на сколько я понял мне нужно:
1.Закрыть весь достут из подсетей к eth1
2.Разрешить определенным пользователям (при соответствии мак и  ір) доступ к данному интерфуйсу

Я в правильную сторону мыслю?

Да.

У меня в  iptables есть правило:
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT

на сколько я понял оно розрешает доступ к eth1 всей подсети 192.168.1.0/255, его нужно удалять?

Да.

похожие правила есть для OUTPUT  и INPUT, их трогать нужно?

Нет. Хотя по желанию. В INPUT приходят пакеты, предназначенные непосредственно для этого компьютера. В OUTPUT попадают пакеты непосредственно СОЗДАННЫЕ этим компьютером. Т.е. на транзитные пакеты (от другого компьютера в сети до сайта в интернете) они не влияют. На это влияет цепочка FORWARD. Вот хорошая картинка:
http://zchan.homeunix.net/blog/media/1/20070526-iptables_packetflow.png

И еще, как по локалке узнать мак-и юзеров?

например, так:

Код: [Выделить]

arping IP_юзера


[Vetal_krot]

Еще в етом правиле -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT затрагивается eth0, тоесть после его удаления мне нужно будет создать вот такое правило:
 -A FORWARD -s 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT ?

 и какую букву нужно ставить перед названием интерфейса "-i" или "-о"?

А далее уже  -A FORWARD -s 192.168.1.ххх -i eth1 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

Я ничего не упустил?

[TrEK]

Еще в етом правиле -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT затрагивается eth0, тоесть после его удаления мне нужно будет создать вот такое правило:
 -A FORWARD -s 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT ?

 и какую букву нужно ставить перед названием интерфейса "-i" или "-о"?

А далее уже  -A FORWARD -s 192.168.1.ххх -i eth1 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

Я ничего не упустил?

-i   - IN
-o - OUT

правило означает, что разрешать входить сети 192.168.1.0/255.255.255.0 в интерфейс eth1, и выходить с eth0.

[Vetal_krot]

пробовал делать так:

для начала удалил правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT

после создал правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT

потом создал  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -j DROP

потом  -A FORWARD -s 192.168.1.ххх -i eth1 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

но интернет не заработал, после попробовал сделать так:

удалил правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT

создал -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j DROP

и для каждого пользователя еще дописал -o eth0 
получилось следующее -A FORWARD -s 192.168.1.ххх -i eth1 -o eth0 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

но интернет увы опять отказался работать, подскажите что я делаю не так? почему оно не работает? может нужно вносить какието настройки в ДНС сервер? или в HTB?

[TrEK]

пробовал делать так:

для начала удалил правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT

после создал правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT

потом создал  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -j DROP

потом  -A FORWARD -s 192.168.1.ххх -i eth1 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

но интернет не заработал, после попробовал сделать так:

удалил правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT

создал -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j DROP

и для каждого пользователя еще дописал -o eth0 
получилось следующее -A FORWARD -s 192.168.1.ххх -i eth1 -o eth0 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

но интернет увы опять отказался работать, подскажите что я делаю не так? почему оно не работает? может нужно вносить какието настройки в ДНС сервер? или в HTB?

ДНС и дисциплина HTB тут ни при чем.
/proc/sys/net/ipv4/ip_forward равен 1 ?
Пинги проходят?... и куда доходит трассировка?

[Vetal_krot]

/proc/sys/net/ipv4/ip_forward равен 1 ?

да! там стоит 1, когда делаю все выше описаное пинги на ружу не идут, в какую сторону копать?

[TrEK]

/proc/sys/net/ipv4/ip_forward равен 1 ?

да! там стоит 1, когда делаю все выше описаное пинги на ружу не идут, в какую сторону копать?

Сделайте iptables -L -n или покажите файл /etc/iptables-save

и покажите route -n

[Vetal_krot]

вот все что касается форвардинга в данный момент :

-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j LOG
-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j DROP
-A FORWARD -d 224.0.0.1 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP

вот что в роуте:

Destination           Gateway         Genmask         Flags   Metric   Ref    Use   Iface
192.168.1.0         0.0.0.0         255.255.255.0   U         0         0        0    eth1
192.168.0.0         0.0.0.0         255.255.255.0   U         0         0        0    eth0
0.0.0.0               192.168.0.1     0.0.0.0           UG      100       0        0    eth0

[triode-master]

Еще одна хорошая статья по теме
ФАЙРВОЛЛ (БРАНДМАУЭР) И ШЛЮЗ В ИНТЕРНЕТ
В DEBIAN GNU/LINUX 4.0 ETCH
http://www.bible-mda.ru/soft/debian-4.0-firewall/debian-4.0-firewall.html

[Acumen]

Значит так рассказываю:   

№1 - ppp0  Интернет подключение через протокол PPPoE с запросом логина и пароля!
№2 - eth0  Локальная сеть через которую посылаю запросы по протоколу PPPoE
№3 - eth1  Локальная сеть (домашняя).

Мне надо расшарить доступ к интернету в сеть № 3

Вот такие у меня дела!

Возился с http://easylinux.ru/node/190 - так и не понял! подскажите пожалуйста мне, что делать а?

[Stiff]

Значит так рассказываю:   

№1 - ppp0  Интернет подключение через протокол PPPoE с запросом логина и пароля!
№2 - eth0  Локальная сеть через которую посылаю запросы по протоколу PPPoE
№3 - eth1  Локальная сеть (домашняя).

Мне надо расшарить доступ к интернету в сеть № 3

Вот такие у меня дела!

Возился с http://easylinux.ru/node/190 - так и не понял! подскажите пожалуйста мне, что делать а?

Поставь firestarter

[Vetal_krot]

Подскажите по посту №85