[问题求助]iptables绕晕啦 来看看这个要怎么配 [复制链接]

部分：

iptables -P INPUT DROP.              乙肝

iptables -P FORWAR.D DROP           建材

ip.tables -P OUTPUT ACCEPT.





iptab.les -A INPUT -i l.o -j ACCEPT[成人用品]

iptab.les -A INPUT -i et.h0 -j ACCEPT           鲜花



iptables -A INPUT -m state --state .ESTABLISHED,R.ELATED -j ACCEPT(广告)

ipt.ables -A FORWARD -m state --state ESTABLISHED,RELATE.D -j ACCEPT    外汇

iptables -A INPU.T -j. MIRROR              乙肝

ipt.ables -A FO.RWARD -j MIRROR.



iptables -A FORWARD -s 192..168.1.2 -m mac --mac-source 00:11:22:33:AA:BB -j. ACCEP.T--- 印刷

iptables -t nat -A POSTROUTI.NG -s 19.2.168.1.0/24 -o eth1 -j SNAT --to-source 202.96.111..222.
复制代码
对MAC做了绑定 .只允许被绑定的人才可以上网服务器
因为公司流动人员很大 比如来个拿笔记本的顾客 其MAC不在.我知道的 我想用DHCP让他获取地址并且获取.的地址池中的IP 不受MAC绑定限制 怎么做？投资

iptables -A INPU.T -m state --st.ate ESTABLISHED,RELATED -j ACCEPT           建材

iptabl.es -A FORWARD -m state --state E.STABLISHED,RELATED -j ACCEPT    美容

iptables -A INPU..T -j MIRROR.

i.ptables -A FORWARD -j MIR.ROR健康
复制代码

这里的FORWARD上做的屏蔽初.始连接 是不是有问.题？(        游戏          )
INPUT是控制进入网关这台主机的包 ，FORWARD.是控制通过网关这台主机的包。（是这样.吧？）(广告)
那我想要拒绝外来的NEW状态连接，只在INPUT上做是不是就可以了.？在DORWARD上做是不是没必要.啦？.


请高手指点一下 谢谢

第一个MAC绑定后 DHCP获取不受限制问题
如果把DHCP分配的IP设置为 192.168.1.3
这样写顺序
iptables -A FORWARD -p tcp -s 192.168.1.3 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2 -m mac --mac-source 00:11:22:33:AA:BB -j ACCEPT

这样是不是192.168.1.3的包匹配到第一句后就通过了，不在继续匹配。 而192.168.1.2还是必须IP与MAC匹配后才允许通过？

是这样的，iptable只要找到对应的规则就不会再向下查找规则了

[ 本帖最后由 chinamyrice 于 2006-4-5 21:11 编辑 ]

整个脚本这样写
iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT





iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -j ACCEPT



iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j MIRROR

iptables -A FORWARD -j MIRROR



iptables -A FORWARD -p tcp -s 192.168.1.1/27 -j ACCEPT

iptables -A FORWARD -p tcp -s 192.168.1.64/27 -j ACCEPT

iptables -A FORWARD -p tcp -s 192.168.1.128/25 -j ACCEPT

iptables -A FORWARD -s 192.168.1.32 -m mac --mac-source 00:11:22:33:AA:BB -j ACCEPT

iptables -A FORWARD -s 192.168.1.33 -m mac --mac-source 00:11:22:33:AA:CC -j ACCEPT

#…………中间省略 就是 192.168.1.32/27段的所有IP匹配MAC后才允许通过

iptables -A FORWARD -s 192.168.1.63 -m mac --mac-source 00:11:22:33:AA:BB -j ACCEPT



iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 202.96.111.222
复制代码
这样我是不是就达到了对 192.168.1.32/27 段的IP限制匹配MAC后才可以上网，而192.168.1.0/24内的其他用户就不需要去匹配MAC就可以上网，即使他们把IP改为192.168.1.32/27段内的IP也不能上网。。
不知道这样做是否能满足我的要求

[ 本帖最后由 bleach 于 2006-4-5 23:24 编辑 ]

还是没有把 192.168.1.32/27段内的IP锁住 他们还是可以更改IP上网
这样只判断了IP，没有判断MAC，
我想让192.168.1.32/27的机器只能用我给的IP上网，更改其他IP都不允许上网，而非此段的用户也不允许用更改此段IP上网。因为有路由策略限制 所以必须这么做。
只能把192.168.1.0/24的所有网卡MAC都指定一遍，才能达到我的目的吗？
请教其他方法

QUOTE:iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j MIRROR
iptables -A FORWARD -j MIRROR

iptables -A FORWARD -p tcp -s 192.168.1.1/27 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.64/27 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.128/25 -j ACCEPT
iptables -A FORWARD -s 192.168.1.32 -m mac --mac-source 00:11:22:33:AA:BB -j ACCEPT
iptables -A FORWARD -s 192.168.1.33 -m mac --mac-source 00:11:22:33:AA:CC -j ACCEPT
#…………中间省略 就是 192.168.1.32/27段的所有IP匹配MAC后才允许通过
iptables -A FORWARD -s 192.168.1.63 -m mac --mac-source 00:11:22:33:AA:BB -j ACCEPT

顺序问题
前面都 MIRROR 了，后面再 ACCEPT 有用吗？