iptables для закрытия доступа в интернет отдельных машин

[nenene]

Добрый день!

Гуру iptables, помогите пожалуйста.
Ubuntu 12.04.2 LTE Server, стоит роутером для локальной сети, предоставляет доступ в интернет. eth0 смотрит наружу, eth1 в локалку.
Необходимо посредством iptables некоторым машины (неважно по ip или mac) отрезать доступ в интернет полностью, но дать возможность смотреть в локальную сеть. man iptables курил, просвещения не достиг
В данный момент при запуске системы стартует скрипт, в котором указаны следующие команды:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

#Vklyuchaem forwarding paketov
echo 1 > /proc/sys/net/ipv4/ip_forward

#Razreshaem traffic na loopback-interface
iptables -A INPUT -i lo -j ACCEPT

#Razreshaem dostup iz vnutrenney seti naruzhu
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Enable NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

#Razreshaem otveti iz vneshney seti
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Zapreshaem dostup snaruzhi vo vnutrennyuyu network
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

Предполагал что это делается так:

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.ххх -j REJECT

Но, видимо что-то делаю не так

Вывод команды iptables -S :

(Нажмите, чтобы показать/скрыть)

:~$ sudo iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable

[fisher74]

Надо добавлять это правило до всеобщего разрешения, то есть раньше чем
-A FORWARD -i eth1 -o eth0 -j ACCEPT
позиция правила выбирается парметром -I
Например

Код: [Выделить]

sudo iptables -I FORWARD 13 -i eth1 -o eth0 -s 192.168.0.ххх -j REJECT

[nenene]

fisher74, Спасибо огромное, очень помогли!

[AnrDaemon]

Такие правила лучше загонять в отдельную цепочку, вызываемую из основной.

[fisher74]

С учётом выбранной политики дефолтного запрета, то вообще по другому надо строить цепочку FORWARD

[nenene]

Сначала всё запрещать, а потом по одному добавлять исключения? так наверное логичнее?

[ArcFi]

Варианты:
1) чёрный список — выборочно дропать перед общим разрешающим правилом/политикой
2) белый список — выборочно пропускать перед общим запрещающим правилом/политикой

[fisher74]

Тут, наверное, стоит оговориться, что не смотря на позицию общего разрешающего или запрещающего правила (ака дефолт-правило)в которой озвучил уважаемый ArcFi при описании политик, в листинге правил это правило будет стоять первым
-P FORWARD DROP
да и объявляют его тоже обычно первым.
То есть сначала объявили общее правило, которое будет выполняться в случае если ни одно другое правило в цепочке не подошло.

[nenene]

Все понял) проблема была в моей голове)
Правила для цепочки применяются "снизу вверх") думал что наоборот)
Спасибо за детальное объяснение!

[ArcFi]

Правила для цепочки применяются "снизу вверх")

С каких пор? o_O
Вы правила с политикой не путаете?

[fisher74]

Правила для цепочки применяются "снизу вверх") думал что наоборот)

Правильно думал. Правила в цепочке проверяются именно СВЕРХУ-ВНИЗ.
Исключением является только дефолтное правило, которое указывается вне очереди, но применяется последним. Слово применяется не зря, так как условий в этом правиле нет никаких, только действие - раз проверка пакета прошла всю цепочку и не задела ни одного терминирующего правила - значит это клиент действия по умолчанию.

[nenene]

 
То есть трафик, проходя по цепочке, пробегает все заданные правила сверху вниз, в случае если какое-то из них задевает, выполняется действие заданное -j *, дальше по цепочке трафик не бежит. В случае если ни одно правило не задето, выполняется действие по умолчанию. Так правильно?

[ArcFi]

nenene, http://www.opennet.ru/man.shtml?topic=iptables&category=8&russian=0&#lbAE

[fisher74]

Да. Именно так.
Опять же с поправочкой.

в случае если какое-то из них задевает, выполняется действие заданное -j *, дальше по цепочке трафик не бежит.

дальше не бежит, если действие терминирующее (DROP, ACCEPT, REJECT, DNAT, ....).
Есть действия которые пропускают пакет дальше по цепочке (LOG, TOS, TTL, MARK,...)

[nenene]

Спасибо всем огромное!