Как фильтровать доступ в интернет через резервный внешний канал?

Question

[openkazan]

Есть 1 локалка и 2 внешних канала. Второй аплинк с худшим каналом является резервом и переклюючение на него происходит автоматом с помощью скрипта:
изначально прописаны правила
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o rth1 -j MASQUERADE

а скрипт просто меняет дефолт маршрут

Всё работает, все нормально.
Задача: нужно при переключении на резервный канал (eth1) запретить доступ в интернет из локалки всем, кроме 2х IP.
Но чтобы при переключении на основной, в интернет выходили все.

P.S.: в iptables ну совсем не специалист, а задача горит. Нужно прямо сейчас.

Answer 1

[krosh]

Пользуйтесь цепочкой FORWARD для фильтрации проходящего мимо трафика.

Не знаю, что у вас там сейчас, но правильное решение должно содержать такие правила:

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m comment --comment "РАЗРЕШЕНО Установленные соединения" -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -m comment --comment "РАЗРЕШЕНО Локальная сеть, основной канал" -j ACCEPT
iptables -A FORWARD -s 192.168.0.101 -o rth1 -m comment --comment "РАЗРЕШЕНО Человек первый хороший, резервный канал" -j ACCEPT
iptables -A FORWARD -s 192.168.0.102 -o rth1 -m comment --comment "РАЗРЕШЕНО Человек второй хороший, резервный канал" -j ACCEPT