Очередная задачка. На определенном сервере есть необходимость дропать все

11 Фев 2009 - 01:14
Дед ворчливый >> 1652 >> 68.34

Очередная задачка.
На определенном сервере есть необходимость дропать все входящие соединения, кроме клиентов попадающих в диапазон провайдера и очень ограниченного круга лиц из зарубежья.
Сваял скриптик для iptables:


# Очистка таблиц и цепочек
iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table filter --flush
iptables --table nat --delete-chain
iptables --table filter --delete-chain

# Назначение глобальных политик фаервола
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# Разрешаем прохождение любого трафика по интерфейсу обратной петли.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Тут будут МАС-и "доверенных забугорцев"
iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT
#iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT
#iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT
#iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT

#Локалка - правило работает
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT

#Диапазон моего провайдера - тут все работает, проверено.
#Дропает всех, кто не в диапазоне.
iptables -A INPUT -i eth0 -s 82.200.128.0/17 -j ACCEPT
iptables -A INPUT -i eth0 -s 88.204.128.0/17 -j ACCEPT
iptables -A INPUT -i eth0 -s 89.218.0.0/16 -j ACCEPT
iptables -A INPUT -i eth0 -s 92.46.0.0/15 -j ACCEPT
iptables -A INPUT -i eth0 -s 95.56.0.0/14 -j ACCEPT
iptables -A INPUT -i eth0 -s 212.19.128.0/19 -j ACCEPT
iptables -A INPUT -i eth0 -s 212.154.128.0/17 -j ACCEPT

Так вот "отдельных товарищей" с идентификацией по МАС-у не пускает.
Ставил это правило и в самом конце скрипта, результат тот же.

Собственно вопрос - как этих товарищей не входящих в диапазон Каз-нета идентифицировать и пропустить?
VPN пока не предлагать:)
Не дорос еще до его построения и настройки:)

Да, забыл сказать. Мандрива давно снесена, на ее месте успешно трудится Ubuntu 8.10 server. Хотя в данном случае это не критично.

Пусть и у меня будет блог :-) И называться он будет "Как я на Линукс подсел".