저는 여러 사용자(약 800명)를 보유하고 있으며 MAC 주소 기반 필터링을 위한 IPTABLES 방화벽을 개발 중입니다. 내 질문은 단일 체인에 몇 개의 규칙을 추가할 수 있으며 IPTABLES 버전 1.3.5 필터를 처리할 수 있는 규칙은 몇 개입니까?입니다.
내 시나리오는 다음과 같습니다. 2개의 NIC(1LAN 1WAN)가 있는 Linux Centos 게이트웨이 프록시 머신(프록시는 포트 80만 처리합니다. iptables 버전 1.3.5 내 iptables 필터 규칙은 다음과 같습니다.
인터넷 및 LAN에서/에서/에서 유용한 포트 입력을 허용하기 위한 여러 규칙을 INPUT(삭제)합니다.
FORWARD(삭제) LAN에서 인터넷으로 우선순위에 따라 정적 사용자(user1, user2, user3) IP를 FORWARD하는 여러 단순 규칙입니다. 인터넷에서 LAN으로 우선 순위에 따라 정적 사용자(user1, user2, user3) IP를 전달하는 여러 가지 간단한 규칙입니다. 다른 모든 사용자(user4, user5, user6 .....) 인터넷에 대한 IP 요청은 IP/MAC 주소 바인딩 확인을 위해 ALLMAC 체인으로 이동합니다. 다른 모든 사용자(user4, user5, user6 .....) 인터넷에서 IP 요청 응답은 IP 주소 확인을 위해 ALLMAC 체인으로 이동합니다.
ALLMAC 체인 소스는 다음 mac 주소를 갖는 user4 IP입니다. ACCEPT (iptables -t filter ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) 대상 user4 IP -j ACCEPT(iptables -t 필터 ALLMAC -d 192.168.1.1 -j ACCEPT)
소스는 다음 MAC 주소를 갖는 user5 IP입니다. ACCEPT(iptables -t filter ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) 대상 user5 IP -j 수락(iptables -t 필터 ALLMAC -d 192.168.1.2 -j 수락)
소스는 다음 MAC 주소를 갖는 user6 IP입니다. ACCEPT(iptables -t filter ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) 대상 user6 IP -j 수락(iptables -t 필터 ALLMAC -d 192.168.1.3 -j 수락)
(ALLMAC 체인에 위와 같이 약 800명의 사용자를 추가하려고 함) 목록에 없는 기타 모두 DROP(ALLMAC 체인의 끝)
OUTPUT(삭제) - 인터넷 및 LAN에서/에서/에서 유용한 포트 출력을 허용하기 위한 여러 규칙입니다. ?
이 간단한 시나리오에서 저를 도와주세요. 사용자의 IP를 제한하고 등록되지 않은 사용자를 차단하는 이 좋은 접근 방식을 안내해 드립니다.
미리 감사드립니다. 리즈완.