У меня есть несколько пользователей (около 800 пользователей), я разрабатываю брандмауэр IPTABLES для фильтрации на основе MAC-адресов. Мой вопрос: КАК МНОГИЕ ПРАВИЛА МОГУТ ДОБАВИТЬСЯ В ОДИНОЧНУЮ ЦЕПЬ, И КАК МНОГИЕ ПРАВИЛА МОГУТ ОБРАЩАТЬСЯ В ВЕРСИИ IPTABLES 1.3.5 фильтр?
Мой senario выглядит следующим образом: Прокси-машина Linux Centos Gateway с 2 сетевыми картами (1LAN 1WAN) (Прокси-сервер обрабатывает только порт 80. iptables version 1.3.5 Мои правила фильтрации iptables выглядят следующим образом.
INPUT (Отбрасывание) нескольких правил для принятия полезных портов. Вход из / для Интернета и из / для локальной сети.
FORWARD (отбрасывание) Несколько простых правил для пересылки статических IP-адресов пользователей (user1, user2, user3) по приоритету из локальной сети в Интернет. Несколько простых правил для пересылки статических IP-адресов пользователей (user1, user2, user3) по приоритету из Интернета в локальную сеть. Все остальные пользователи (user4, user5, user6 .....) запрашивают IP-адреса для Интернета и переходят в цепочку ALLMAC для проверки привязки IP / MAC-адресов. все остальные пользователи (user4, user5, user6 .....), отвечающие на запросы IP-адресов из Интернета, переходят в цепочку ALLMAC для проверки IP-адресов.
Источник цепочки ALLMAC - это IP пользователя user4, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.1 -m mac --mac-source 00: 01: 02: 03: 04: 05: 06 -j ПРИНЯТЬ) -j ПРИНЯТЬ (iptables -t фильтр ALLMAC -d 192.168.1.1 -j ПРИНЯТЬ)
источником является IP пользователя user5, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.2 -m mac --mac-source 00: 01: 02: 03: 04: 05: 06 -j ПРИНЯТЬ) целевой пользователь5 IP -j ПРИНЯТЬ (iptables -t filter ALLMAC -d 192.168.1.2 -j ПРИНЯТЬ)
источником является IP пользователя user6, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.3 -m mac --mac-source 00: 01: 02: 03: 04: 05: 06 -j ПРИНЯТЬ) целевой пользователь6 IP -j ПРИНЯТЬ (iptables -t filter ALLMAC -d 192.168.1.3 -j ПРИНЯТЬ)
(хочу добавить около 800 пользователей, как описано выше в цепочках ALLMAC), все остальные, не перечисленные DROP (конец цепочки ALLMAC)
OUTPUT (Drop) - несколько правил для приема полезных портов. Выход из / для интернета и из / для локальной сети. ?
Пожалуйста, помогите мне в этом простом сценарии. и направьте меня, это хороший подход для ограничения пользователей по их IP-адресам и блокирования незарегистрированных пользователей.
Заранее спасибо. Ризван.
-m set --match-set user_bindings src,src
(с растровым изображением: ip, Mac ipset) вместо ...