iptables и раздача инета с фильтрацией по mac

Не вижу никаких запрещающих правил, кроме коннекта на 25 порт на сервере, дай iptables-save.

возьму скрипт на вооружение. каокй формат у /usr/local/sbin/allowed_mac?

по-моему, $ipt -A FORWARD -o ppp0 -m mac --mac-source $mac -j ACCEPT разрешает форвард через ppp0 только по макам, остальное по дефолту запрещено должно быть

$ipt -P FORWARD ACCEPT

$ipt -P FORWARD ACCEPT

# Generated by iptables-save v1.4.2 on Wed Oct 19 21:22:00 2011 *mangle :PREROUTING ACCEPT [18941590:12124944958] :INPUT ACCEPT [135038:10037279] :FORWARD ACCEPT [18803779:12111940644] :OUTPUT ACCEPT [138959:12817628] :POSTROUTING ACCEPT [18942573:12124750904] COMMIT # Completed on Wed Oct 19 21:22:00 2011 # Generated by iptables-save v1.4.2 on Wed Oct 19 21:22:00 2011 *filter :INPUT ACCEPT [135034:10037087] :FORWARD DROP [0:0] :OUTPUT ACCEPT [138961:12817876] -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j DROP -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth1 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:80:48:12:C2:2A -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:21:B8:EA:2B -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:8C:98:38:DD -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:15:F2:14:7E:ED -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:04:75:D7:3B:E0 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:22:15:96:CD:1E -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:1B:FC:89:62:F1 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:18:F3:3E:62:B7 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:26:18:5D:B4:20 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:30:4F:20:35:CE -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:8C:98:55:77 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:1D:60:47:9B:60 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:21:F0:C0:8B -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 40:61:86:01:F7:BE -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:21:F0:C0:DC -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:11:D8:0A:66:B7 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:21:F0:C0:DA -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:30:4F:20:49:5B -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:80:48:12:88:09 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:04:61:62:22:D5 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source E0:CB:4E:D5:65:0D -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source E0:CB:4E:D5:65:08 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:04:61:62:22:D5 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:1D:60:24:DA:AB -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:21:B8:E9:96 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:21:B8:E9:90 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:13:8F:57:DE:30 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:1D:60:24:DA:AB -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source F4:6D:04:5C:FD:B7 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:02:44:74:82:C9 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:24:21:B8:E9:92 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:30:4F:20:42:B6 -j ACCEPT -A FORWARD -o ppp0 -m mac --mac-source 00:23:8B:F7:1E:0F -j ACCEPT -A FORWARD -i ppp0 -j ACCEPT COMMIT # Completed on Wed Oct 19 21:22:00 2011 # Generated by iptables-save v1.4.2 on Wed Oct 19 21:22:00 2011 *nat :PREROUTING ACCEPT [222644:50543745] :POSTROUTING ACCEPT [130934:44958113] :OUTPUT ACCEPT [78997:4781249] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.9.2:3389 -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # Completed on Wed Oct 19 21:22:00 2011

формат allowed_mac:

00:11:22:33:44:55 66:77:88:99:11:22

такие простыни принято сливать на пастбины

Сорри я не в теме. Это как??

Вот более читаемый вывод iptables-save: http://pastebin.mozilla-russia.org/109322

Задачу

получать с инета почту, работать в клиент-банках

нужно сформулировать в терминах ip-адресов, протоколов, портов. И не все задачи можно будет решить с помощью iptables. Если вам нужна почта на mail.ru, причём через web-интерфейс, то открыв tcp порт 80 на http://www.mail.ru вы откроете доступ ко всей уютненькой майлрушечке, а не только к почте.

Вы блин упорки, осильте лоркод уже.

Короче, ebtables(хотя, может и не понадобится), iptables + маркировка пакетов помогут(ну может ещё ipset, не помню умеет ли он хранить маки). С одних маков пропускаешь трафик, с других направляешь в отдельную цепочку и дело с концом.

ну да, ipset+iptables и больше ничего не нужно.

Ребят, а сквид может фильтровать по мак адресам? Если да, то на мой взгляд будет красивше все это дело пустить через него - запилить прозрачный прокси. Я мыслю в правильном направлении?

Нуу фильтровать по макам он умеет... Но я не вижу смысла в использовании сквида если можно легко обойтись фаерволом.

На днях задача усложнилась. Тем юзверям кто с инетом, инет порезать - закрыть социалки, ххх, твиттеры и т.д., тем кто без инета - доступ к почте (поп3, смтп), клиент-банки (443 и хз какие еще), и пара рабочих сайтов. Я думаю айпитаблесом разрешить форвардинг наружу для всех, перенаправить 80, 8080 порты на сквид. Тобишь инет через проксю, проксей фильтруем кому шо давать, а остальные сервисы по другим портам гуляют свободно. Ну как-то так...

а, ну вот это нормальное решение потому что фильтрацию по сайтам лучше всё же делать не через iptables.

Ок. Спасибо всем за участие. Будем покорять сквид. true_admin - отдельная благодарность за терпимость.

Да не, ты молодец, сам справился. Обычно я скептически к таким топикам отношусь потому что люди даже элементарных вещей не понимают и объяснять бесполезно, проще сделать. А полное нежелание людей учиться почему-то напрягает.

У меня желание учиться присутствует, а вот времени на это категорически не хватает (работаю в аутсорсе, целыми днями в разьездах). Начальство поставит такую задачку и вертись как хотиш, а посоветоваться/проконсультироваться нескем. Так что наверное я вас буду еще тревожить. :)