Доброго времени суток.
Подскажите как лучше сделать.
В офисе есть 2 сети: проводная и беспроводная. С проводкой все ясно, возникла проблемка с беспроводкой, когда решили пускать всех сотрудников. А именно стоит маленький шлюз на Ubunte с прокси + статистика, фильтрует трафик между проводкой и беспроводкой. В беспроводки ходят ноуты работников + компы. Взмыли юзеры, че нам вайфай не дают на мобильные устройства, мол для работы же.
Получается на шлюзе там где
WAN - это проводка, а
LAN - это беспроводка. Файерволы отключены, как бы и не требовалось. Теперь надо включать. Надо с WANa был полный доступ в LAN, а из LANa на определенные IP адреса в проводной сети.
Думаем настроить, как один из вариантов, iptables так:
iptables -F
iptables -P OUTPUT DROP
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport ssh -i eth0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport domain -i eth0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport ldap -i eth0 -j ACCEPT
iptables -A OUTPUT -p udp --dport ldap -i eth0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -i eth0 -j ACCEPT
iptables -A OUTPUT -p udp --dport 21 -i eth0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -i eth0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3128 -i eth0 -j ACCEPT
iptables -A OUTPUT -s 10.0.1.1 -j ACCEPT
iptables -A OUTPUT -s 10.0.1.3 -j ACCEPT
iptables -A OUTPUT -s 10.0.1.11 -j ACCEPT
iptables -A OUTPUT -s 10.0.1.104 -j ACCEPT
iptables -A OUTPUT -s 10.0.1.77 -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
iptables -I OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -I OUTPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -I OUTPUT -p icmp --icmp-type time-exceeded -j ACCEPT
Может есть другие предложение или допиливание этой весчи.
Заранее спасибо
Тема: Доступ на определенные внешние адреса через iptables (Прочитано 659 раз)
