сколько правил iptables или поддержка одной цепочки

tag-icon tag-icon linux firewall iptables
сколько правил iptables или поддержка одной цепочки

У меня несколько пользователей (около 800), я разрабатываю брандмауэр IPTABLES для фильтрации на основе MAC-адресов. Мой вопрос: СКОЛЬКО ПРАВИЛ Я МОГУ ДОБАВИТЬ В ОДНУ ЦЕПОЧКУ И СКОЛЬКО ПРАВИЛ МОГУТ ОБРАБОТАТЬ фильтр IPTABLES ВЕРСИИ 1.3.5?

Мой сценарий такой: прокси-машина Linux Centos Gateway с 2 сетевыми картами (1 LAN 1 WAN) (прокси обрабатывает только порт 80). Версия iptables 1.3.5. Мои правила фильтрации iptables выглядят следующим образом.

INPUT (Drop) несколько правил для приема полезных портов Input из/для Интернета и из/для локальной сети.

ПЕРЕСЫЛКА (отбрасывание) Несколько простых правил для ПЕРЕСЫЛКИ статических IP-адресов пользователей (user1, user2, user3) с приоритетом из локальной сети в Интернет. Несколько простых правил для ПЕРЕСЫЛКИ статических IP-адресов пользователей (user1, user2, user3) с приоритетом из Интернета в локальную сеть. Запросы IP-адресов всех остальных пользователей (user4, user5, user6 .....) для Интернета отправляются в цепочку ALLMAC для проверки привязки IP/MAC-адреса. Ответы на запросы IP-адресов всех остальных пользователей (user4, user5, user6 .....) из Интернета отправляются в цепочку ALLMAC для проверки IP-адреса.

Источник цепочки ALLMAC — IP-адрес пользователя 4 со следующим mac-адресом ACCEPT (iptables -t filter ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) IP-адрес назначения user4 -j ACCEPT (iptables -t filter ALLMAC -d 192.168.1.1 -j ACCEPT)

источник - IP-адрес пользователя 5 со следующим mac-адресом ACCEPT (iptables -t filter ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) целевой IP-адрес пользователя 5 -j ACCEPT (iptables -t filter ALLMAC -d 192.168.1.2 -j ACCEPT)

источник - IP-адрес пользователя user6 со следующим mac-адресом ACCEPT (iptables -t filter ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT) целевой IP-адрес пользователя user6 -j ACCEPT (iptables -t filter ALLMAC -d 192.168.1.3 -j ACCEPT)

(хотим добавить около 800 пользователей, как указано выше, в цепочки ALLMAC) все остальные, не перечисленные, ОТКЛЮЧАЕМ (конец цепочки ALLMAC)

ВЫВОД (отбрасывание) ?множество правил для приема полезных портов Вывод из/для Интернета и из/для локальной сети. ?

Пожалуйста, помогите мне в этом простом сценарии. И расскажите, хороший ли это подход к ограничению пользователей по их IP-адресам и блокировке незарегистрированных пользователей.

Заранее спасибо. Ризван.

Связанный контент