У меня есть несколько пользователей (около 800 пользователей), я разрабатываю брандмауэр IPTABLES для фильтрации по MAC-адресам. Мой вопрос: КАК МНОГИЕ ПРАВИЛА МОГУТ ДОБАВИТЬСЯ В ОДИНОЧНУЮ ЦЕПЬ, И КАК МНОГИЕ ПРАВИЛА МОГУТ ОБРАЩАТЬСЯ В ВЕРСИЮ IPTABLES 1.3.5 фильтр?
Мой senario похож на это, Linux Centos Gateway Proxy Machine с 2 сетевыми картами (1LAN 1WAN) (Proxy обрабатывает только порт 80. iptables version 1.3.5 мои правила фильтрации iptables выглядят следующим образом.
INPUT (Отбрасывание) нескольких правил для принятия полезных портов. Вход из / для Интернета и из / для локальной сети.
FORWARD (удаление) Несколько простых правил для пересылки статических IP-адресов пользователей (user1, user2, user3) по приоритету из локальной сети в Интернет. Несколько простых правил для пересылки статических IP-адресов пользователей (user1, user2, user3) по приоритету из Интернета в локальную сеть. все остальные пользователи (user4, user5, user6 .....) Запросы IP-адресов для Интернета отправляются в цепочку ALLMAC для проверки привязки IP/ MAC-адресов. все остальные пользователи (user4, user5, user6 .....) Ответы на запросы IP-адресов из Интернета идут в цепочку ALLMAC для проверки IP-адресов.
В качестве источника цепочки ALLMAC используется IP-адрес пользователя user4, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ПРИНЯТЬ)-j ПРИНЯТЬ (iptables -t фильтр ALLMAC -d 192.168.1.1 -j ПРИНЯТЬ)
источником является IP пользователя user5, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ПРИНЯТЬ) целевой пользователь5 IP -j ПРИНЯТЬ (iptables -t filter ALLMAC -d 192.168.1.2 -j ПРИНЯТЬ)
источником является IP пользователя user6, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ПРИНЯТЬ) целевой пользователь6 IP -j ПРИНЯТЬ (iptables -t filter ALLMAC -d 192.168.1.3 -j ПРИНЯТЬ)
(хочу добавить около 800 пользователей, как указано выше в цепочках ALLMAC) все остальные, не перечисленные DROP (конец цепочки ALLMAC)
ВЫХОД (падение)?несколько правил для принятия полезных портов Вывод из / для Интернета и из / для локальной сети. ?
Пожалуйста, помогите мне в этом простом сценарии. и направьте меня, это хороший подход для ограничения пользователей по их IP-адресам и блокирования незарегистрированных пользователей.
Заранее спасибо. Ризван.