|
|
|
ДНЕВНИКИ
Назад >>
Сергей ШИБКА
>>
CentOS
28.02.2014 CentOS 6.x и NAT по MAC адресам
Раздаем интернет через NAT в локальную сеть, с привязкой по MAC адресам.
Имеем машину на базе CentOS. В ней две сетевые платы. Первая получает интернет, и имеет IP 192.168.1.120, вторая будет раздавать интернет в локальную сеть, имеет IP 192.168.161.1.
Шлюз:
eth0 - 192.168.1.120 (в интернет)
eth1 - 192.168.161.1 (в локальную сеть)
Локальная сеть: 192.168.161.0/24
Настраиваем Маршрутизацию и NAT.
Открыть редактором файл /etc/rc.d/rc.local и добавить строки:
echo 1 > /proc/sys/net/ipv4/ip_forward # Включение маршрутизации в ядре
/etc/nat # Запуск правил для машрутизации IPTABLES
Создать файл /etc/rc.d/nat с правами на запуск и пишем в него содержимое:
#!/bin/bash
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
################################################################################
### Разрешения FORWARD для пользователей NAT
################################################################################
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Пользователь Иванов (простой пользователь)
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 61:a4:4c:42:03:b6 -j MARK --set-mark 111001
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 61:a4:4c:42:03:b6 -j ACCEPT
# Пользователь Петров (простой пользователь)
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 10:1f:d0:b5:c4:65 -j MARK --set-mark 222001
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 10:1f:d0:b5:c4:65 -j ACCEPT
# Пользователь Сидоров (администатор)
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 05:1f:b0:b5:a6:40 -j MARK --set-mark 777001
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 05:1f:b0:b5:a6:40 -j ACCEPT
################################################################################
################################################################################
### Разрешения POSTROUTING для пользователей NAT
################################################################################
# NAT до IP 217.45.36.5 Bank Client для: Пользователь Иванов
/sbin/iptables -t nat -A POSTROUTING -m mark --mark 111001 -s 192.168.161.0/24 -d 217.45.36.5 -j MASQUERADE
# NAT до IP 195.25.249.125 TestBed для: Пользователь Петров
/sbin/iptables -t nat -A POSTROUTING -m mark --mark 222001 -s 192.168.161.0/24 -d 195.25.249.125 -j MASQUERADE
# NAT полный для: Администраторы
/sbin/iptables -t nat -A POSTROUTING -m mark --mark 777001 -s 192.168.161.0/24 -d 0.0.0.0/0.0.0.0 -j MASQUERADE
Теперь перезапускаем конфиги:
/etc/rc.d/./rc.local
/etc/./nat
И так.
Есть пользователь Иванов, сетевая карта имеет MAC адрес 61:a4:4c:42:03:b6. Для него мы сделали разрешение через NAT только на один внешний IP адрес 217.45.36.5.
Пользователь Петров, сетевая карта имеет MAC адрес 10:1f:d0:b5:c4:65. Для него мы сделали разрешение через NAT только на один внешний IP адрес 195.25.249.125.
Пользователь Сидоров, сетевая карта имеет MAC адрес 05:1f:b0:b5:a6:40. Для него мы сделали разрешение через NAT полное, на любой внешний адрес.
• комментарии (1)
[ Назад ]
|
|
|
