Саратов + 26 °C 

Храмы Высота ЧБ Люди Вокзалы Парк Зима. Снег Саратов Сад-огород. Хлеба Грибы Лес Зима. Снег Цветы Живность Кошки Река Хлеба Лес Зима. Снег Новый Год Небо. Облака Радуга Курьезы Река Хлеба Лес Зима. Снег Небо. Облака Курьезы Астро Зима. Снег Новый Год Шарм Эль Шейх. Тропикана Гранд Азур Кошки Ящерица Йошкар-Ола. Казань. Чебоксары Гуамское ущелье Майкоп Грибы Зима. Снег Лошади Сад-огород. Зима. Снег Должанка Египет Люди Санкт-Петербург Санкт-Петербург Финляндия Финляндия Греция. Родос. Детский Сад 158 Новый Год Авто Мото Макро Карта Дети Питание Шарм Эль Шейх. Тропикана Гранд Азур Астро Набережная Петрозаводска Карелия. Путешествия. Весна Макро Карта Отдых Лыжные прогулки Стихи CentOS Oracle SAMBA GlassFish LAMP Motion EJabberd Postfix. Dovecot. Amavisd Perl Jabber VLC M3U Ubuntu
Твоя картинка. YouPict.Ru. Загрузи и Покажи
ДНЕВНИКИ


Назад >> Сергей ШИБКА >> CentOS


28.02.2014 CentOS 6.x и NAT по MAC адресам

Раздаем интернет через NAT в локальную сеть, с привязкой по MAC адресам.

Имеем машину на базе CentOS. В ней две сетевые платы. Первая получает интернет, и имеет IP 192.168.1.120, вторая будет раздавать интернет в локальную сеть, имеет IP 192.168.161.1.

Шлюз:

eth0 - 192.168.1.120 (в интернет)
eth1 - 192.168.161.1 (в локальную сеть)


Локальная сеть: 192.168.161.0/24

Настраиваем Маршрутизацию и NAT.

Открыть редактором файл /etc/rc.d/rc.local и добавить строки:

echo 1 > /proc/sys/net/ipv4/ip_forward # Включение маршрутизации в ядре
/etc/nat # Запуск правил для машрутизации  IPTABLES


Создать файл /etc/rc.d/nat с правами на запуск и пишем в него содержимое:

#!/bin/bash
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

################################################################################
### Разрешения FORWARD для пользователей NAT
################################################################################

/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Пользователь Иванов (простой пользователь)
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 61:a4:4c:42:03:b6 -j MARK --set-mark 111001
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 61:a4:4c:42:03:b6 -j ACCEPT

# Пользователь Петров (простой пользователь)
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 10:1f:d0:b5:c4:65 -j MARK --set-mark 222001
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 10:1f:d0:b5:c4:65 -j ACCEPT

# Пользователь Сидоров (администатор)
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 05:1f:b0:b5:a6:40 -j MARK --set-mark 777001
/sbin/iptables -t filter -A FORWARD -m mac --mac-source 05:1f:b0:b5:a6:40 -j ACCEPT

################################################################################

################################################################################
### Разрешения POSTROUTING для пользователей NAT
################################################################################

# NAT до IP 217.45.36.5 Bank Client для: Пользователь Иванов
/sbin/iptables -t nat -A POSTROUTING -m mark --mark 111001 -s 192.168.161.0/24 -d 217.45.36.5 -j MASQUERADE

# NAT до IP 195.25.249.125 TestBed для: Пользователь Петров
/sbin/iptables -t nat -A POSTROUTING -m mark --mark 222001 -s 192.168.161.0/24 -d 195.25.249.125 -j MASQUERADE

# NAT полный для: Администраторы
/sbin/iptables -t nat -A POSTROUTING -m mark --mark 777001 -s 192.168.161.0/24 -d 0.0.0.0/0.0.0.0 -j MASQUERADE


Теперь перезапускаем конфиги:

/etc/rc.d/./rc.local
/etc/./nat


И так.

Есть пользователь Иванов, сетевая карта имеет MAC адрес 61:a4:4c:42:03:b6. Для него мы сделали разрешение через NAT только на один внешний IP адрес 217.45.36.5.

Пользователь Петров, сетевая карта имеет MAC адрес 10:1f:d0:b5:c4:65. Для него мы сделали разрешение через NAT только на один внешний IP адрес 195.25.249.125.

Пользователь Сидоров, сетевая карта имеет MAC адрес 05:1f:b0:b5:a6:40. Для него мы сделали разрешение через NAT полное, на любой внешний адрес.


комментарии (1)


[ Назад ]


© 2005 - 2018 * Сергей Шибка