LINUX.ORG.RU

История изменений

Исправление ktulhu666, (текущая версия) :

Сделать так:
если wifi-сеть у нас wlan0 с 192.168.33.0/24, а локалка eth0 192.168.22.0/24, то iptables будет выглядеть так:
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -s 192.168.33.0/24 ! -d 192.168.22.0/24 -j ACCEPT
-A FORWARD -i eth0 -s 192.168.22.0/24 -j ACCEPT
-A FORWARD -j DROP

При этом маршрутизация СОЕДИНЕНИЙ (а не пакетов в узком смысле) из локалки в wifi будет работать из-за первого правила, а наоборот - нет. Можно использовать только -i или только -s. И вообще - делать DROP в середине таблицы - это не правильно и имеет место для fail2ban-like варианта или для сложных конфигураций (но тут лучше в таблицы выносить такие сложные правила). В стандартном варианте (во всех таблицах) должны идти ACCEPT-правила и ЗАКРЫВАТЬСЯ DROP/REJECT правилом/политикой. И "-m state --state RELATED,ESTABLISHED" всегда должно быть первым правилом.

Исправление ktulhu666, :

Сделать так:
если wifi-сеть у нас wlan0 с 192.168.33.0/24, а локалка eth0 192.168.22.0/24, то iptables будет выглядеть так:
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -s 192.168.33.0/24 ! -d 192.168.22.0/24 -j ACCEPT
-A FORWARD -i eth0 -s 192.168.22.0/24 -j ACCEPT
-A FORWARD -j DROP

При этом маршрутизация СОЕДИНЕНИЙ (а не пакетов в узком смысле) из локалки в wifi будет работать из-за первого правила, а наоборот - нет. Можно использовать только -i или только -s. И вообще - делать DROP в середине таблицы - это не правильно и имеет место для fail2ban-like варианта или для сложных конфигураций (но тут лучше в таблицы выносить такие сложные правила). В стандартном варианте (во всех таблицах) должны идти ACCEPT-правила и ЗАКРЫВАТЬСЯ DROP/REJECT правилом/политикой. И "-m state --state RELATED,ESTABLISHED" всегда должно быть первым правило.

Исходная версия ktulhu666, :

Сделать так:
если wifi-сеть у нас wlan0 с 192.168.33.0/24, а локалка eth0 192.168.22.0/24, то iptables будет выглядеть так:
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -s 192.168.33.0/24 ! -d 192.168.22.0/24 -j ACCEPT
-A FORWARD -i eth0 -s 192.168.22.0/24 -j ACCEPT
-A FORWARD -j DROP

При этом маршрутизация СОЕДИНЕНИЙ (а не пакетов в узком смысле) из локалки в wifi будет работать из-за первого правила, а наоборот - нет. Можно использовать только -i или только -s. И вообще - делать DROP в середине таблицы - это не правильно и имеет место для fail2ban-like варианта или для сложных конфигураций (но тут лучше в таблицы выносить такие сложные правила). В стандартном варианте (во всех таблицах) должны идти ACCEPT-правила и ЗАКРЫВАТЬСЯ DROP/REJECT правилом/политикой.