我有多個使用者(大約 800 個使用者),我正在開髮用於基於 MAC 位址的過濾的 IPTABLES 防火牆。我的問題是我可以在單鏈中添加多少規則以及有多少規則可以處理 IPTABLES 版本 1.3.5 過濾器?
我的情況是這樣的,帶有 2 個網路卡(1LAN 1WAN)的 Linux Centos 網關代理機器(代理程式僅處理連接埠 80。iptables 版本 1.3.5 我的 iptables 過濾規則如下所示。
輸入(丟棄)多個規則,用於接受來自/用於互聯網和來自/用於 LAN 的有用連接埠輸入。
轉送(丟棄) 多個簡單規則可優先將靜態使用者(user1、user2、user3)IP 從 LAN 轉送至 Internet。多個簡單規則可優先將靜態使用者(user1、user2、user3)IP 從 Internet 轉送至 LAN。所有其他使用者(user4、user5、user6 .....)對網際網路的 IP 請求都會前往 ALLMAC 鏈進行 IP/MAC 位址綁定檢查。所有其他使用者(user4、user5、user6 .....)IP 請求從網際網路回復到 ALLMAC 鏈進行 IP 位址檢查。
ALLMAC 鏈源是user4 IP,具有以下mac 位址接受(iptables -t filter ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT)目標user4 IP -j 接受(iptables -t 過濾 ALLMAC -d 192.168.1.1 -j 接受)
來源是user5 IP,具有以下mac 位址接受(iptables -t filter ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT)目標user5 IP -j接受(iptables -t 過濾器 ALLMAC -d 192.168.1.2 -j 接受)
來源是user6 IP,具有以下mac 位址接受(iptables -t filter ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT)目標user6 IP -j接受(iptables -t 過濾器 ALLMAC -d 192.168.1.3 -j 接受)
(想要在 ALLMAC 鏈中添加大約 800 個用戶,就像上面一樣)所有其他未列出的 DROP(ALLMAC 鏈的末尾)
輸出(丟棄)? ?
請在這個簡單的場景中幫助我。引導我的是這種限制用戶 IP 並阻止非註冊用戶的好方法。
提前致謝。裡茲萬。