У меня есть машина Linux 3.10, работающая как маршрутизатор NAT между локальной сетью wlan0
и глобальной сетью eth0
. Я хотел бы разрешить всю связь между машинами в локальной сети (они заслуживают доверия) и разрешить им подключаться к сети столько, сколько им нужно, но запретить весь незапрошенный входящий трафик как к маршрутизатору, так и к машинам с NAT.
Я также хотел бы заблокировать весь исходящий многоадресный трафик как от маршрутизатора, так и от компьютеров ЛВС, поскольку администратор ЛВС кричал * на меня за многоадресный трафик с моей машины ранее.
Мой файл iptables.rules
выглядит так:
# Generated by iptables-save v1.4.21 on Sun Apr 20 21:38:37 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [23:2184]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlan0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m pkttype --pkt-type multicast -j DROP
COMMIT
# Completed on Sun Apr 20 21:38:37 2014
# Generated by iptables-save v1.4.21 on Sun Apr 20 21:38:37 2014
*nat
:PREROUTING ACCEPT [1643:178375]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Apr 20 21:38:37 2014
Как я могу изменить это так, чтобы клиенты LAN (и маршрутизатор!) можно общаться друг с другом? Отфильтровывает ли правило OUTPUT
всю групповую рассылку, уходящую в WAN, как я хочу?
* на самом деле не кричал, но достаточно близко