IPTABLES

0

0

Здравствуйте! подскажите как будет выглядеть правила: 192.168.1.1 по 192.168.1.41 можно все, а всем остальным (42-255) только почту юзать. Заранее спасибо!

Ссылка

←	Два поключения к интернет

Форвардинг широковещательного запроса

→

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

iptables -s 192.168.1.1 INPUT ACCEPT iptables -d 192.168.1.41 OUTPUT ACCEPT

iptables -s 192.168.1.42-255 --sport 25 INPUT ACCEPT iptables -s 192.168.1.42-255 --sport 25 OUTPUT ACCEPT iptables -s 192.168.1.42-255 --sport 110 INPUT ACCEPT iptables -s 192.168.1.42-255 --sport 110 OUTPUT ACCEPT

anonymous
(27.06.05 11:56:37 MSD)

Ссылка

Поробуйте использовать match iprange (есть в patch-o-matic):
iptables -A нужная_цепочка -m iprange --src-range 192.168.1.1-192.168.1.41 -j ACCEPT
iptables -A нужная_цепочка -m iprange --src-range 192.168.1.42-192.168.1.254 -p tcp -m multiport --dports 25,110 -j ACCEPT
iptables -A нужная_цепочка -m iprange --src-range 192.168.1.42-192.168.1.254 -j DROP

P.S. Я конечно извиняюсь, но то, что написал предыдущий anonymous, - это просто каша, а не правила :-)

spirit ★★★★★
(27.06.05 15:22:05 MSD)

Ответ на: комментарий от spirit 27.06.05 15:22:05 MSD

А лучше - state и multiport
iptables -P FORWARD DROP
iptables -A FORWARD -m state -p tcp --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state -p tcp -s 192.168.1.1 -d 0/0 --state NEW -j ACCEPT
iptables -A FORWARD -m state -p tcp -s 192.168.1.41 -d 0/0 --state NEW -j ACCEPT
iptables -A FORWARD -m state -m multiport -p tcp -s 192.168.1.0/24 -d 0/0 --dports 25,110 --state NEW -j ACCEPT
Чтобы было читабельней

simba ★
(28.06.05 09:25:58 MSD)

Ссылка

Ответ на: комментарий от spirit 27.06.05 15:22:05 MSD

iptables -A FORWARD -m iprange --src-range 192.168.1.1-192.168.1.41 -j DROP получилось СПАСИБО! А вот с почтой что-то невыходит... Делал: iptables -A FORWARD -m iprange --src-range 192.168.1.42-192.168.1.254 -p tcp -m multiport --dports 25,110 -j ACCEPT

iptables -A INPUT -m iprange --src-range 192.168.1.42-192.168.1.254 -p tcp -m multiport --dports 25,110 -j ACCEPT

iptables -A OUTPUT -m iprange --src-range 192.168.1.42-192.168.1.254 -p tcp -m multiport --dports 25,110 -j ACCEPT

Невышло... SPIRIT Помоги пожалуйста!

anonymous
(28.06.05 09:56:21 MSD)

Ответ на: комментарий от anonymous 28.06.05 09:56:21 MSD

Нужно ядро собрать с поддержкой модуля iprange и в память его загрузить. Лучше попробуй, как я предложил. Так проще.

simba ★
(28.06.05 17:00:40 MSD)

Ссылка

Ответ на: комментарий от anonymous 28.06.05 09:56:21 MSD

2 simba:
1) Лучше 42 правила для каждого IP, чем одно ???
2) если первое правило прошло, значит в системе все есть, не надо ничего подгружать, пересобирать.

> А вот с почтой что-то невыходит
Так что именно не выходит ? Что не работает ?
Почта вообще где находится ? На этом же компе или почтовые пакеты через этот комп ходят транзитом ? И еще, как у вас работает почта, какие протоколы (порты) используются ?

spirit ★★★★★
(29.06.05 13:30:09 MSD)