@openkazan

Как фильтровать доступ в интернет через резервный внешний канал?

Есть 1 локалка и 2 внешних канала. Второй аплинк с худшим каналом является резервом и переклюючение на него происходит автоматом с помощью скрипта:
изначально прописаны правила
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o rth1 -j MASQUERADE

а скрипт просто меняет дефолт маршрут

Всё работает, все нормально.
Задача: нужно при переключении на резервный канал (eth1) запретить доступ в интернет из локалки всем, кроме 2х IP.
Но чтобы при переключении на основной, в интернет выходили все.

P.S.: в iptables ну совсем не специалист, а задача горит. Нужно прямо сейчас.
  • Вопрос задан
  • 37 просмотров
Пригласить эксперта
Ответы на вопрос 1
@krosh
Пользуйтесь цепочкой FORWARD для фильтрации проходящего мимо трафика.

Не знаю, что у вас там сейчас, но правильное решение должно содержать такие правила:

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m comment --comment "РАЗРЕШЕНО Установленные соединения" -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -m comment --comment "РАЗРЕШЕНО Локальная сеть, основной канал" -j ACCEPT
iptables -A FORWARD -s 192.168.0.101 -o rth1 -m comment --comment "РАЗРЕШЕНО Человек первый хороший, резервный канал" -j ACCEPT
iptables -A FORWARD -s 192.168.0.102 -o rth1 -m comment --comment "РАЗРЕШЕНО Человек второй хороший, резервный канал" -j ACCEPT
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы