iptables группировка сетей и их блокирование

0

1

Приветствую!

Прошу помочь форум поскольку поиск и мануал не помогли.

В общем есть gateway/firewall с двумя интерфейсами. Как всегда один во внутрь смотрит, другой в публичную сеть.

Задача такая. Есть локальные сети (сети города) куда я бы хотел разрешать своим пользователям. например сети 14.15.16.0/24, 91.90.90.0/24 (сети взял от фонаря)

Хочу запрещать выход в другие сети кроме этих, но только опр. пользователям.

Таких сетей может быть десятки, соответственно если каждому локальному пользователю я буду эти десятки прописывать, даже если через скрипт, думаю не очень.

Есть ли способ как то эти сети группировать и затем, скажем задавать типа IPTABLES -A OUTPUT -s 192.168.1.10 -d <ЭТИ СЕТИ> -j ACCEPT

вышеописанного правила несуществует, я просто привел пример простоты как бы.

Ссылка

←	PowerDNS (master) -> bind9 (slave)

Проблема с сетевыми соединениями

→

нужно пользователям запрещать или компьютерам? Какой именно трафик нужно запрещать (http/https или весь)?
В общем случае squid если нужно разграничение по пользователям и по http(s). Если достаточно по компьютерам, то http://www.shorewall.net/

Slavaz ★★★★★
(02.04.12 00:49:52 MSK)

Ответ на: комментарий от Slavaz 02.04.12 00:49:52 MSK

пользователь в моем случае это IP+Mac. Запрещать нужно весь трафик

nehochuha
(02.04.12 00:52:39 MSK) автор топика

Ответ на: комментарий от nehochuha 02.04.12 00:52:39 MSK

тогда shorewall. у него очень неплохой уровень абстракции, является надстройкой над iptables, под Ваши задачи неплохо подходит.

Slavaz ★★★★★
(02.04.12 00:55:21 MSK)

Ответ на: комментарий от Slavaz 02.04.12 00:55:21 MSK

Спасибо! Уже смотрю.

А вот сама группировка о которой шла речь, все таки хочу изучить iptables сам без абстракций, каким путем это достигается? куда копать?

nehochuha
(02.04.12 00:56:52 MSK) автор топика

Ответ на: комментарий от nehochuha 02.04.12 00:56:52 MSK

в «голом» iptables я бы сделал так: цепочка правил, в которой перечислены адреса назначения:

iptables -N ALLOW_ONLY_NETWORKS
iptables -A ALLOW_ONLY_NETWORKS -d <сеть1> -j ACCEPT
iptables -A ALLOW_ONLY_NETWORKS -d <сеть2> -j ACCEPT
iptables -A ALLOW_ONLY_NETWORKS -d <...> -j ACCEPT
iptables -A ALLOW_ONLY_NETWORKS -j DROP

и потом нужным пользователям добавлять эту цепочку в проверку:

iptables -A FORWARD -s <user1> -j ALLOW_ONLY_NETWORKS
iptables -A FORWARD -s <user2> -j ALLOW_ONLY_NETWORKS

Slavaz ★★★★★
(02.04.12 01:10:47 MSK)

Ответ на: комментарий от Slavaz 02.04.12 01:10:47 MSK

Спасибо! Это как раз то, что нужно!

nehochuha
(02.04.12 01:13:48 MSK) автор топика

Ссылка

ipset

true_admin ★★★★★
(02.04.12 06:29:59 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	PowerDNS (master) -> bind9 (slave)

Admin

Проблема с сетевыми соединениями

→

Похожие темы