Tenho vários usuários (aproximadamente 800 usuários), estou desenvolvendo um firewall IPTABLES para filtragem baseada em endereços MAC. Minha pergunta é QUANTAS REGRAS POSSO ADICIONAR EM UMA ÚNICA CADEIA E QUANTAS REGRAS PODEM LIDAR COM O filtro IPTABLES VERSÃO 1.3.5?
Meu cenário é assim, Linux Centos Gateway Proxy Machine com 2 NICs (1LAN 1WAN) (o proxy lida apenas com a porta 80. iptables versão 1.3.5, minhas regras de filtro de iptables são semelhantes a seguir.
INPUT (Drop) múltiplas regras para aceitar portas úteis Entrada de/para Internet e de/para LAN.
FORWARD (Drop) Múltiplas regras simples para ENCAMINHAR IPs de usuários estáticos (usuário1, usuário2, usuário3) com prioridade da LAN para a Internet. Múltiplas regras simples para ENCAMINHAR IPs de usuários estáticos (usuário1, usuário2, usuário3) com prioridade da Internet para a LAN. todos os outros usuários (usuário4, usuário5, usuário6 .....) As solicitações de IPs para Internet vão para a cadeia ALLMAC para verificação de ligação de endereço IP/MAC. todos os outros usuários (usuário4, usuário5, usuário6 .....) As solicitações de IPs da Internet vão para a cadeia ALLMAC para verificação do endereço IP.
A origem da cadeia ALLMAC é o IP do usuário4 com o seguinte endereço mac ACCEPT (iptables -t filter ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) destino user4 IP -j ACEITAR (iptables -t filtro ALLMAC -d 192.168.1.1 -j ACEITAR)
origem é o IP do usuário5 com o seguinte endereço mac ACCEPT (iptables -t filter ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) destino user5 IP -j ACEITAR (iptables -t filtro ALLMAC -d 192.168.1.2 -j ACEITAR)
origem é o IP do usuário6 com o seguinte endereço mac ACCEPT (iptables -t filter ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) destino user6 IP -j ACEITAR (iptables -t filtro ALLMAC -d 192.168.1.3 -j ACEITAR)
(deseja adicionar aproximadamente 800 usuários como acima nas cadeias ALLMAC) todos os outros não listados DROP (fim da cadeia ALLMAC)
OUTPUT (Drop) ?múltiplas regras para aceitar portas úteis Saída de/para Internet e de/para LAN. ?
Por favor me ajude neste cenário simples. e me guie é esta boa abordagem para restringir usuários em seus IPs e bloquear usuários não registrados.
Desde já, obrigado. Rizwan.