IPTABLES - pristup k netu jen pro nekoho - 3 rozhrani

Michal Koblizek m.koblizek na seznam.cz
Pátek Březen 12 14:51:15 CET 2004


Dobry den, 
potykam se s nastavenim firewallu. Mam linku do netu (eth1) a lokalni sit (eth0 a wlan0).
Potreboval bych, aby se po lokalni siti dostali vsichni kamkoliv, ale do netu jenom nekteri
 - tem kterym to povolim. Zatim na zaklade IP adres, casem na zaklade MAC adres.
Podle clanku na Rootu, ABC linuxu sem nakonec vytvoril tohle:

#!/bin/sh

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -p ALL -i eth0 -j ACCEPT
iptables -A INPUT -p ALL -i lo -j ACCEPT
iptables -A INPUT -p ALL -i wlan0 -j ACCEPT
iptables -A INPUT -p ALL -s 10.129.96.34 -j ACCEPT  #Tohle je muj poc
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j LOG

iptables -A OUTPUT -j LOG

iptables -A FORWARD -s 10.129.96.34 -j ACCEPT
#iptables -A FORWARD -s 10.129.96.35 -j ACCEPT
#iptables -A FORWARD -s 10.129.96.36 -j ACCEPT
iptables -A FORWARD -s 10.129.96.65 -j ACCEPT
iptables -A FORWARD -s 10.129.96.2 -j ACCEPT
iptables -A FORWARD -s 10.129.96.37 -j ACCEPT
iptables -A FORWARD -s 10.129.96.67 -j ACCEPT
iptables -A FORWARD -s 10.129.96.68 -j ACCEPT
#iptables -A FORWARD -s 10.129.96.79 -j ACCEPT

=======================================
#Driv tady misto toho dole bylo:
#iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT
i#ptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
#tim jsem chtel povolit jenom ten lokal, ale asi mi to povolovalo vsechno...
=======================================

iptables -A FORWARD -s 10.129.96.32/255.255.255.224 -d 10.129.96.64/255.255.255.224 -j ACCEPT
iptables -A FORWARD -s 10.129.96.64/255.255.255.224 -d 10.129.96.32/255.255.255.224 -j ACCEPT

iptables -A FORWARD -i eth1 -o wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


#iptables -t nat -A PREROUTING -p tcp --dport 80 -s 10.129.96.32/255.255.255.224 -i ! eth1 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -p tcp --dport 80 -s 10.129.96.64/255.255.255.224 -i ! eth1 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

ale stejne, kdyz to spustim, tak muzou surfovat po netu vsichni. Ale zajimavy je, ze z tech nepovolenych IP
(ty co mam zakomentovany), tak z nich nejde pingnout napr. na www.seznam.cz, ale brouzdat IE jo.

Precetl sem si vselijaky HOWTO, ale tam sou vetsinou jenom pripady kdy sou jenom 2 rozhrani a filtruje se provoz mezi nima. Prosim poradte, nebo dejte aspon odkaz na nejaky stranky, kde to bude vic polopate.

S pozdravem Michal Koblizek


Další informace o konferenci Linux