Am Mi, 31.05.2006, 21:54, schrieb Andre Tann:
Bernd Schmelter, Mittwoch, 31. Mai 2006 21:43:
$IPTABLES -A FORWARD -i lan --mac-source ! 44:77:0e:3e -j DROP $IPTABLES -A FORWARD -i lan --mac-source ! 44:77:0e:1a -j DROP
Das wird so nicht funktionieren: ein Paket von ...:3e wird von Regel 1 durchgelassen, aber dann von Regel 2 gedropt.
Durch ist durch. Das könnte gehen.
Ein Paket von ...:1a wird schon bei der ersten Regel gedropt.
Das stimmt. :-( Also anders herum. Am Beginn des FW-Scripts sollte die Policy für die Chains ohnehin so aussehen, dass alles generell verworfen (verboten) wird, was durch spezielle Commandos innerhalb der Chains nicht irgendwie erlaubt / verarbeitet wird. echo 1 >...... iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -F iptables -t nat -F iptables -X $IPTABLES -t nat -A POSTROUTING -o wan -j MASQUERADE $IPTABLES -A FORWARD -i lan --mac-source 44:77:0e:3e -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i lan --mac-source 44:77:0e:1a -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # ....und hier den Rückweg von Außen erlauben iptables -A FORWARD -i wan -o lan -m state --state ESTABLISHED,RELATED -j ACCEPT Ob --mac-source plus -m state zusammen funktionieren, weiss ich nicht. hth Benn