Цитата |
---|
HeopZ пишет: но именно по СИД.. |
wtf СИД?
телепаты в отпуске...
Что касается того, что я понял вот пример при условиии что eth0 это интерфейс во внешней сети, а eth1 во внутренней:
#!/bin/bash
export IPTABLES="/sbin/iptables";
export EXTIF="eth0";
export INTIF="eth1";
$IPTABLES -P INPUT DROP;
$IPTABLES -P OUTPUT DROP;
$IPTABLES -P FORWARD DROP;
#Для tcp:
$IPTABLES -A FORWARD -p tcp -s [IP компов которые надо выпустить] -d [IP куда их надо выпустить] -m state --state NEW,ESTABLISHED,RELATED -i $INTIF -j ACCEPT;
$IPTABLES -A FORWARD -p tcp -s 0/0 -d [IP компов которые надо выпустить] -m state --state ESTABLISHED,RELATED -i $EXTIF -j ACCEPT;
#Тоже самое для udp:
$IPTABLES -A FORWARD -p udp -s [IP компов которые надо выпустить] -d [IP куда их надо выпустить] -m state --state NEW,ESTABLISHED,RELATED -i $INTIF -j ACCEPT;
$IPTABLES -A FORWARD -p udp -s 0/0 -d [IP компов которые надо выпустить] -m state --state ESTABLISHED,RELATED -i $EXTIF -j ACCEPT;
#а теперь блочишь все сети по нужной тебе маске:
$IPTABLES -A FORWARD -p udp -s [IP компов которые НЕ надо выпустить] -d 0/0 -i $INTIF -j DROP;
Или если это локальная станция:
#!/bin/bash
export IPTABLES="/sbin/iptables";
$IPTABLES -P INPUT DROP;
$IPTABLES -P OUTPUT DROP;
$IPTABLES -P FORWARD DROP;
#Для tcp:
$IPTABLES -A OUTPUT -p tcp -s [ТвойIP] -d [IP куда надо выпустить] -m state --state NEW,ESTABLISHED,RELATED -o eth0 -j ACCEPT;
$IPTABLES -A INPUT -p tcp -s 0/0 -d [ТвойIP] -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT;
#Тоже самое для udp:
$IPTABLES -A OUTPUT -p udp -s [ТвойIP] -d [IP куда надо выпустить] -m state --state NEW,ESTABLISHED,RELATED -o eth0 -j ACCEPT;
$IPTABLES -A INPUT -p udp -s 0/0 -d [ТвойIP] -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT;
#а теперь блочишь все сети по нужной тебе маске:
$IPTABLES -A OUTPUT -p ALL -s [ТвойIP] -d [сеть/маска] -o eth0 -j DROP;
#Впрочем последнюю строчку можно не писать и так по умолчанию все заблочится...
Все понятно? %)