mr6in Posted February 17, 2012 Posted February 17, 2012 (edited) В общем есть такая задумка, запретить выход в инет с жестко заданными IP, то есть сейчас можно прописав правильный шлюз и днс выйти в энтернет, я хочу это запретить, можно было бы сделать аппаратно на коммутаторах, но функция only dhcp есть не на всех, точнее на меньшенстве, можно ли это сделать на программном уровне? если нет то можно ли скажем в iptables разрешить выход в энторнет только с определенного пула адресов (из того который дает впн)? хотя проблему полностью это не решитъ. Может есть вообще другие варианты? p.s. ОС Fedora13 Edited February 17, 2012 by mr6in Вставить ник Quote
dmvy Posted February 17, 2012 Posted February 17, 2012 изобразить ip unnumbered. делаем сеть на интерфейс lo и на известных абонентов, у которых должно все работать, делаем /32 маршрут в нужный интерфейс. можно немного покодить и сделать это действие по выдаче лизы на ip-адрес. свой DHCP-сервер написать под свои нужды не так сложно. Вставить ник Quote
mr6in Posted February 17, 2012 Author Posted February 17, 2012 предложили такой конфиг iptables хочу испробывать его: # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth1 -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 1812 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 1813 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 1723 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 1723 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 1812 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 1812 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 47 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 47 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 5900 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 8080 -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i ppp+ -o eth1 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.