Очередная задачка.
На определенном сервере есть необходимость дропать все входящие соединения, кроме клиентов попадающих в диапазон провайдера и очень ограниченного круга лиц из зарубежья.
Сваял скриптик для iptables:
# Очистка таблиц и цепочек
iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table filter --flush
iptables --table nat --delete-chain
iptables --table filter --delete-chain
# Назначение глобальных политик фаервола
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
# Разрешаем прохождение любого трафика по интерфейсу обратной петли.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Тут будут МАС-и "доверенных забугорцев"
iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT
#iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT
#iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT
#iptables -A INPUT -i eth0 -m mac --mac-source 00:1D:60:22:7D:97 -j ACCEPT
#Локалка - правило работает
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
#Диапазон моего провайдера - тут все работает, проверено.
#Дропает всех, кто не в диапазоне.
iptables -A INPUT -i eth0 -s 82.200.128.0/17 -j ACCEPT
iptables -A INPUT -i eth0 -s 88.204.128.0/17 -j ACCEPT
iptables -A INPUT -i eth0 -s 89.218.0.0/16 -j ACCEPT
iptables -A INPUT -i eth0 -s 92.46.0.0/15 -j ACCEPT
iptables -A INPUT -i eth0 -s 95.56.0.0/14 -j ACCEPT
iptables -A INPUT -i eth0 -s 212.19.128.0/19 -j ACCEPT
iptables -A INPUT -i eth0 -s 212.154.128.0/17 -j ACCEPT
Так вот "отдельных товарищей" с идентификацией по МАС-у не пускает.
Ставил это правило и в самом конце скрипта, результат тот же.
Собственно вопрос - как этих товарищей не входящих в диапазон Каз-нета идентифицировать и пропустить?
VPN пока не предлагать
Не дорос еще до его построения и настройки
Да, забыл сказать. Мандрива давно снесена, на ее месте успешно трудится Ubuntu 8.10 server. Хотя в данном случае это не критично.
Очередная задачка.
На определенном сервере есть необходимость дропать все входящие соединения, кроме клиентов попадающих в диапазон провайдера и очень ограниченного круга лиц из зарубежья.
Сваял скриптик для iptables:
Так вот "отдельных товарищей" с идентификацией по МАС-у не пускает.
Ставил это правило и в самом конце скрипта, результат тот же.
Собственно вопрос - как этих товарищей не входящих в диапазон Каз-нета идентифицировать и пропустить?
VPN пока не предлагать
Не дорос еще до его построения и настройки
Да, забыл сказать. Мандрива давно снесена, на ее месте успешно трудится Ubuntu 8.10 server. Хотя в данном случае это не критично.