Показать сообщение отдельно
Гость
- 12.09.2012 - 08:36
До MAC'ов я не дошел, т.к. решил сначала без них проверить доступ всех машин к интернету и к удаленке сделав во это:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#export не нужен
LAN=eth2
WAN=eth1
WAN1=eth0
WANIP0=1.2.3.4
WANIP1=2.3.4.5
INTIP0=3.4.5.6
INTNET0=1.2.3.0/24
# INPUT
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j DROP -p tcp ! --syn -m state --state NEW
iptables -A INPUT -j ACCEPT -i $LAN -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -i $WAN -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -i $WAN1 -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -i $LAN -p tcp --syn --dport 22
#далее по потребностям

# OUTPUT
iptables -A OUTPUT -j ACCEPT -o lo
iptables -A OUTPUT -j ACCEPT -o $LAN -s $INTIP0
iptables -A OUTPUT -j ACCEPT -o $WAN -s $WANIP0
iptables -A OUTPUT -j ACCEPT -o $WAN1 -s $WANIP1

# FORWARD
#это для красоты
iptables -A FORWARD -j DROP -s 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
iptables -A FORWARD -j DROP -p tcp ! --syn -m state --state NEW
iptables -A FORWARD -j DROP -p tcp -m state --state INVALID
После применения ни у кого кроме сервера интернета не было!
Может я тут напутал?
WANIP0= ip первого провайдера
WANIP1= ip второго провайдера
INTIP0= ????
INTNET0=1.2.3.0/24 диапазон