Ограничение через iptables юзера

Автор: alice Дата: 18.05.2006 11:39 Стоит шлюз на линуксе в инет. Задача пропускать по ip в инет только на 1 определенный ресурс. Как реализовать?
Re: Ограничение через iptables юзера 18.05.2006 12:08sergeil 1/PROXY (squid). Авторизация на proxy по IP и разрешение одного ресурса(URL) для авторизованного IP (подсети).
2/FORWARD+MASQUERADE от одного внутреннего IP(или подсети) на один внешний IP. Делается через iptables.
Re: Ограничение через iptables юзера 18.05.2006 13:39alice Меня интересует 2 способ. Примерная задача eth0 192.168.0.100 смотрит в локалку, eth1 10.10.10.10 смотрит в internet. Есть 2 ip 192.168.0.1 и 192.168.0.2 Я хочу пускать 192.168.0.1 везде, а 192.168.0.2 только ну например на 200.200.200.200
Мой скрипт:

#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.10.10.10
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -A FORWARD -s 192.168.0.1 -j ACCEPT

Теперь если можно пример для 192.168.0.2
Re: Ограничение через iptables юзера 18.05.2006 18:41Woodoo alice писал(а):

> echo 1 > /proc/sys/net/ipv4/ip_forward

Этот метод работает не всегда. См. /etc/sysctl.conf и `man sysctl`

> /sbin/iptables -A FORWARD -s 192.168.0.1 -j ACCEPT
>
> Теперь если можно пример для 192.168.0.2

/sbin/iptables -A FORWARD -s 192.168.0.2 -d 200.200.200.200 -j ACCEPT

Т.е. сработает только то, что разрешено для форварда. Остальное - дроп.
Re: Ограничение через iptables юзера 19.05.2006 05:06sergos 2_alice
есть отличная документация на русском
[www.opennet.ru]
рекомендуется к изучению.
Re: Ограничение через iptables юзера 21.05.2006 00:24shutdown-h-now В данном случае проблему можно решить вообще не используя iptables, а именнно с помощью роутинга.
Удалите маршрут по умолчанию и пропишите маршрут на интересующий вас хост.
man route
Re: Ограничение через iptables юзера 21.05.2006 12:00BigAndy Еще более безопасный вариант - поднять ВПН на обоих концах. man ipsec. Плюс этого способа - защищеный канал. У мну реализовано так. Остальные маршруты запрещены для большинства юзваерей.
RSS-материал