複数のユーザー (約 800 ユーザー) がおり、MAC アドレス ベースのフィルタリング用の IPTABLES ファイアウォールを開発しています。質問は、1 つのチェーンに追加できるルールの数はいくつで、IPTABLES バージョン 1.3.5 のフィルタを処理できるルールの数はいくつですか?
私のシナリオは次のようになります。2 つの NIC (1LAN 1WAN) を備えた Linux Centos ゲートウェイ プロキシ マシン (プロキシはポート 80 のみを処理します。iptables バージョン 1.3.5、私の iptables フィルター ルールは次のようになります。
インターネットから/インターネット用、および LAN から/LAN 用の有用なポート入力を受け入れるための複数のルールを入力 (ドロップ)。
転送 (ドロップ) 複数の単純なルールで、静的ユーザー (user1、user2、user3) の IP を優先的に LAN からインターネットに転送します。 複数の単純なルールで、静的ユーザー (user1、user2、user3) の IP を優先的にインターネットから LAN に転送します。 インターネットに対する他のすべてのユーザー (user4、user5、user6 など) の IP 要求は、IP/MAC アドレス バインディング チェックのために ALLMAC チェーンに送られます。 インターネットからの他のすべてのユーザー (user4、user5、user6 など) の IP 要求の応答は、IP アドレス チェックのために ALLMAC チェーンに送られます。
ALLMAC チェーンのソースは、次の MAC アドレスを持つ user4 IP です。ACCEPT (iptables -t filter ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) 宛先 user4 IP -j ACCEPT (iptables -t filter ALLMAC -d 192.168.1.1 -j ACCEPT)
送信元は、次の MAC アドレスを持つ user5 IP です。ACCEPT (iptables -t filter ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) 宛先 user5 IP -j ACCEPT (iptables -t filter ALLMAC -d 192.168.1.2 -j ACCEPT)
送信元は、次の MAC アドレスを持つ user6 IP です。ACCEPT (iptables -t filter ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) 宛先 user6 IP -j ACCEPT (iptables -t filter ALLMAC -d 192.168.1.3 -j ACCEPT)
(ALLMAC チェーンで上記と同様に約 800 人のユーザーを追加したい) リストされていない他のすべてのユーザーは DROP (ALLMAC チェーンの終了)
出力 (ドロップ) ?インターネットから/用、および LAN から/用の有用なポート出力を受け入れるための複数のルール。?
この単純なシナリオについて助けてください。また、IP に基づいてユーザーを制限し、未登録ユーザーをブロックするためのこの良い方法を教えてください。
よろしくお願いします。リズワン。