Mnogo efikasniji setup bi bio da napravis novi chain (iptables -N <ime>), koji nazoves PORTFILTER, gde dodas ovakva pravila:
Code:
iptables -A PORTFILTER -p tcp --dport 80 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 22 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 443 -j ACCEPT
iptables -A PORTFILTER DROP
A onda ako nekoga zelis da pustis na taj limiran net:
Code:
iptables -A FORWARD -s <adresa> -j PORTFILTER
Pre toga samo dodaj jedan
Code:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Pretpostavljam da su korisnici iza NATa. Kad neko pokusa da uspostavi vezu, paketi se filtriraju u forwardu prema sourceu, posle u PORTFILTERu prema portu (ne zaboravi da na kraj PORTFILTERa stavis DROP!), a u povratku ce biti prihvaceni, jer su deo uspostavljene konekcije (zbog NATa se i ovako nece uspostavljati veze sa kompovima u lokalu).
Jedini problem sa ovim setupom moze biti FTP. Trebace ti par modula, kako bi i FTP radi (ip_nat_ftp, ip_conntrack_ftp).
JaFreelancer.com