Am Mi, 31.05.2006, 23:14, schrieb Bernd Schmelter:
Am Mi, 31.05.2006, 21:54, schrieb Andre Tann:
Bernd Schmelter, Mittwoch, 31. Mai 2006 21:43:
$IPTABLES -A FORWARD -i lan --mac-source ! 44:77:0e:3e -j DROP $IPTABLES -A FORWARD -i lan --mac-source ! 44:77:0e:1a -j DROP
Das wird so nicht funktionieren: ein Paket von ...:3e wird von Regel 1 durchgelassen, aber dann von Regel 2 gedropt.
Durch ist durch. Das könnte gehen.
Ein Paket von ...:1a wird schon bei der ersten Regel gedropt.
Das stimmt. :-(
Also anders herum. Am Beginn des FW-Scripts sollte die Policy für die Chains ohnehin so aussehen, dass alles generell verworfen (verboten) wird, was durch spezielle Commandos innerhalb der Chains nicht irgendwie erlaubt / verarbeitet wird.
echo 1 >......
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -F iptables -t nat -F iptables -X
Das Loopbackdevice auf dem Router muß natürlich als erstes freigeschaltet werden, da Policy hier ja auch auf DROP steht. ############### Loopback #################### iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o wan -j MASQUERADE
$IPTABLES -A FORWARD -i lan --mac-source 44:77:0e:3e -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i lan --mac-source 44:77:0e:1a -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# ....und hier den Rückweg von Außen erlauben
iptables -A FORWARD -i wan -o lan -m state --state ESTABLISHED,RELATED -j ACCEPT
Ob --mac-source plus -m state zusammen funktionieren, weiss ich nicht.
hth Benn
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com