Доступ в Интернет только доверенным MAC-адресам при использовании NAT

[eserden]

Новые(NEW) из внешки НЕ НУЖНЫ для клиентов.
Вы уже определитесь, что Вы добиваетесь: доступ клиентов в сеть или RDP-сессии из вне на 192.168.0.109? Сначала сделайте одно, потом донастраивайте второе.

Ок. Спасибо попробую
RDP с внешки у меня было уже дано. Решил прикрутить фильтрацию по mac для книентов.

Вечером попаду в локальную сеть проверю. Но тогда как я понял появится проблема как прокидывать RDP 

[AnrDaemon]

Не путайте тёплое с мягким. И решайте задачи последовательно.

[censor]

-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

шо за нах?

и вот это
-A FORWARD -p gre -j ACCEPT
заменяется вот этим https://forum.ubuntu.ru/index.php?topic=192140.0 если у вас во внутрисети есть впн сервер.

[fisher74]

У меня по двум маскарадам вопросов нет. Некоторые провайдеры предоставляют локальный траффик (внутри сети провайдера), который как раз предоставляется без vpn.

[eserden]

-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

шо за нах?

и вот это
-A FORWARD -p gre -j ACCEPT
заменяется вот этим https://forum.ubuntu.ru/index.php?topic=192140.0 если у вас во внутрисети есть впн сервер.

Код: [Выделить]

-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADEДля внешних ресурсов

Код: [Выделить]

-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADEДля внутренних ресурсов провайдера
Пользователь решил продолжить мысль 18 Декабря 2012, 23:06:14:Я тогда не совсем понимаю:
RELATED и ESTABLISHED - это соединения которые инициируются изнутри сети. т.е. с машины клиента.
а если я хочу сделать проброс порта. из внутренней сети в наружу. то я должен разрешить такие соиденения т.е. (NEW)
И как это сделать правильно ?

[fisher74]

Создаёте ещё одно правило, в котором в условия ставите откуда (-i ppp0 и/или -i eth0), кому (-d 192.168.0.109, так как цепочку PREROUTING таблицы nat пакет уже прошёл) и по какому порту (-p tcp -dport 3389) предназначен пакет. А ответный траффик у Вас уже организован разрешением исходящего траффика для клиентов локальной сети.

[eserden]

Создаёте ещё одно правило, в котором в условия ставите откуда (-i ppp0 и/или -i eth0), кому (-d 192.168.0.109, так как цепочку PREROUTING таблицы nat пакет уже прошёл) и по какому порту (-p tcp -dport 3389) предназначен пакет. А ответный траффик у Вас уже организован разрешением исходящего траффика для клиентов локальной сети.

Я вас кажется непраилно понял:

Код: [Выделить]

sudo iptables -t filter -A FORWARD -i ppp0  -d 192.168.0.109 -p tcp -dport 3389  -j ACEPT
iptables v1.4.12: multiple -d flags not allowed

[fisher74]

условие порта перенесите левее destination и пишите правильно ACCEPT.

[censor]

условие порта перенесите левее destination и пишите правильно ACCEPT.

все проще, в модуле conntrack на равне с RELATED, ESTABLISHED есть состояние DNAT
тонкий намек в какую сторону рыть в манах...

[eserden]

условие порта перенесите левее destination и пишите правильно ACCEPT.

все проще, в модуле conntrack на равне с RELATED, ESTABLISHED есть состояние DNAT
тонкий намек в какую сторону рыть в манах...

Ок.спасибо за наводку

[fisher74]

И тоже верно

[eserden]

Появилась проблема.

После применения всех правил у меня перестал ходить трафик по VPN.
в качестве VPN сервера pptpd.
Я понимаю что разрешил трафик с ppp0 на eth1 и обратно.
нужен был еще трафик между eth0 и eth1
ну это сделал очень быстро:

Код: [Выделить]

-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables-save:

Код: [Выделить]

iptables-save v1.4.12 on Tue Dec 25 23:17:45 2012
*filter
:INPUT ACCEPT [20413:2726198]
:FORWARD DROP [4892:448011]
:OUTPUT ACCEPT [20256:3419654]
-A FORWARD -p gre -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m mac --mac-source C4:46:19:5A:8A:46 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m mac --mac-source 1C:65:9D:23:AB:AE -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m mac --mac-source 14:D6:4D:EA:4B:5B -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m mac --mac-source 00:18:F3:F2:C4:15 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m mac --mac-source 78:D6:F0:9F:E1:A3 -j ACCEPT
-A FORWARD -i ppp2 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp2 -j ACCEPT
COMMIT
# Completed on Tue Dec 25 23:17:45 2012
# Generated by iptables-save v1.4.12 on Tue Dec 25 23:17:45 2012
*nat
:PREROUTING ACCEPT [19167:1742275]
:INPUT ACCEPT [5742:515193]
:OUTPUT ACCEPT [1311:100399]
:POSTROUTING ACCEPT [3113:278311]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.109
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Dec 25 23:17:45 2012
А как поступить с VPN ведь он для каждого конекта создает новое соединение?
политику ограничить у меня не получилось .
возможен ли ваниант чего то типа iptables -p FORWARD -i ppp0 DROP
Задача ведь ограничить трафик с PPP0 на eth1 для всех кроме. а трафик на всех остальных интерфейсах должен ходить без огранечений.
Помогите пожалуйста.

[fisher74]

Навеяло...

...
-A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j DROP
-A FORWARD -i ppp+ -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m mac --mac-source
...

[eserden]

Навеяло...

...
-A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j DROP
-A FORWARD -i ppp+ -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m mac --mac-source
...

это на замену iptables -P FORWARD DROP ?

А эти правила разве не взаимоисключающие ?

Код: [Выделить]

-A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j DROP

[fisher74]

Нет, не на замену.
Эти правила не взаимоисключающие. Сначала разрешаем "правильные" пакеты входяшие через ppp0, а все остальные входящие через этот интерфейс дропаем. Следующим правилом мы разрешаем все пакеты со всех ppp (заметьте, ppp0 уже все отфильтровали, потому интернет траффик до этого правила уже не дойдёт)