From: Erdem TAŞKIRAN (erdem@cumhuriyet.com.tr)
Date: Tue 24 Feb 2004 - 10:07:52 EST
Selam Arkadaslar,
Networkumda bulunan makinelerin internete erişimlerini ve sınırlamalarını
iptables ile yapmak istiyorum.Zira iptables i çok iyi bilmiyorum.
Kendim bazı kurallar yazdım fakat sınırlamada bir problemim oldu yazdığım
kuralları aşağıda sizlerle paylaşıyorum. Yardımcı olursanız çok sevinirim.
----------------------------------------------------------------------------
----------------------------------------
EXTIF=ppp+
INTIF=eth0
ANY=0.0.0.0/0
#
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -F -t nat
#
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Deny ICMP echo-requests
iptables -A INPUT -i $INTIF -s 10.1.1.0/24 -p icmp --icmp-type
echo-request -j ACCEPT
iptables -A INPUT -i $EXTIF -s $ANY -p icmp --icmp-type echo-request -j DROP
#Sistem Admin (Benim makineme tüm portlar açık)
iptables -A INPUT -m mac --mac-source 00-60-08-65-2F-79 -j ACCEPT #Bu
benim ethernet Mac adresim
#CLIENT 1 (Bu client sadece ftp yapabilsin diğer herşeyi kapalı)
iptables -A INPUT -m mac --mac-source 00-50-fc-64-d7-e5 -p tcp --dport 21 -j
ACCEPT
iptables -A INPUT -m mac --mac-source 00-50-fc-64-d7-e5 -p udp --dport 21 -j
ACCEPT
iptables -A INPUT -m mac --mac-source 00-50-fc-64-d7-e5 -p tcp --dport 20 -j
ACCEPT
iptables -A INPUT -m mac --mac-source 00-50-fc-64-d7-e5 -p udp --dport 20 -j
ACCEPT
#CLIENT2 (bu client ise proxy ye kullansın sadece ve mail alıp gönderme
yapabilsin)
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p tcp --dport
8080 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p udp --dport
8080 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p tcp --dport
25 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p udp --dport
25 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p tcp --dport
110 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p udp --dport
110 -j ACCEPT
#CLIENT3 (bu client ise proxy kullanmasın web e direk ulaşsın ve mail alıp
gönderme yapabilsin)
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p tcp --dport
8080 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p udp --dport
8080 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p tcp --dport
25 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p udp --dport
25 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p tcp --dport
110 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00-ec-fd-54-37 -ef -p udp --dport
110 -j ACCEPT
#ICERDEN GELEN HERKESI ENGELLE
iptables -A INPUT -i $INTIF -s 10.1.1.0/24 -p all -j DROP
# MASQUERADING YAPIYORUZ (Sanırım bu kuralda bir problem var zira client1 ve
client 2'yi sınırlandırdığım halde; halen webe ulaşabiliyorlar)
iptables -A FORWARD -s 10.1.1.0/24 -j ACCEPT
iptables -A FORWARD -d 10.1.1.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
----------------------------------------------------------------------------
-----------------------------------------------
Saygılarımla,
Erdem TAŞKIRAN