Tengo varios usuarios (aproximadamente 800 usuarios), estoy desarrollando un firewall IPTABLES para filtrado basado en direcciones MAC. Mi pregunta es ¿CUÁNTAS REGLAS PUEDO AGREGAR EN UNA SOLA CADENA Y CUÁNTAS REGLAS PUEDO MANEJAR EL filtro IPTABLES VERSIÓN 1.3.5?
Mi senario es así, Linux Centos Gateway Proxy Machine con 2 NIC (1LAN 1WAN) (El proxy maneja solo el puerto 80. iptables versión 1.3.5, mis reglas de filtrado de iptables se ven a continuación.
INPUT (Drop) múltiples reglas para aceptar puertos útiles Entrada desde/para Internet y desde/para LAN.
REENVIAR (soltar) Múltiples reglas simples para REENVIAR IP de usuarios estáticos (usuario1, usuario2, usuario3) en prioridad desde LAN a Internet. Múltiples reglas simples para REENVIAR IP de usuarios estáticos (usuario1, usuario2, usuario3) con prioridad desde Internet a LAN. todos los demás usuarios (usuario4, usuario5, usuario6.....) Las solicitudes de IP para Internet van a la cadena ALLMAC para verificar la vinculación de direcciones IP/MAC. todos los demás usuarios (usuario4, usuario5, usuario6.....) Las solicitudes de IP que responden desde Internet van a la cadena ALLMAC para verificar la dirección IP.
La fuente de la cadena ALLMAC es la IP del usuario4 que tiene la siguiente dirección mac ACEPTAR (iptables -t filter ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) IP del usuario4 de destino -j ACEPTAR (iptables -t filtro ALLMAC -d 192.168.1.1 -j ACEPTAR)
la fuente es la IP del usuario5 que tiene la siguiente dirección mac ACEPTAR (iptables -t filter ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ACEPTAR) IP del usuario5 de destino -j ACEPTAR (iptables -t filtro ALLMAC -d 192.168.1.2 -j ACEPTAR)
la fuente es la IP del usuario6 que tiene la siguiente dirección mac ACEPTAR (iptables -t filter ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ACEPTAR) IP del usuario6 de destino -j ACEPTAR (iptables -t filtro ALLMAC -d 192.168.1.3 -j ACEPTAR)
(quiero agregar aproximadamente 800 usuarios como arriba en las cadenas ALLMAC) todos los demás que no figuran en la lista DROP (fin de la cadena ALLMAC)
SALIDA (Drop): múltiples reglas para aceptar puertos útiles Salida desde/para Internet y desde/para LAN. ?
Por favor ayúdenme en este sencillo escenario. y guíame es este buen enfoque para restringir a los usuarios en sus IP y bloquear a los usuarios no registrados.
Gracias de antemano. Rizwan.