我有多个用户(大约 800 个用户),我正在开发 IPTABLES 防火墙以进行基于 MAC 地址的过滤。我的问题是,我可以在单个链中添加多少条规则,以及多少条规则可以处理 IPTABLES 版本 1.3.5 过滤器?
我的情况是这样的,Linux Centos 网关代理机有 2 个 NIC(1LAN 1WAN)(代理仅处理端口 80。iptables 版本 1.3.5 我的 iptables 过滤规则如下所示。
输入(丢弃)用于接受来自/用于 Internet 和来自/用于 LAN 的有用端口输入的多个规则。
转发(丢弃)多个简单规则,按优先级转发静态用户(用户 1、用户 2、用户 3)的 IP 从 LAN 到 Internet。多个简单规则,按优先级转发静态用户(用户 1、用户 2、用户 3)的 IP 从 Internet 到 LAN。所有其他用户(用户 4、用户 5、用户 6 ......)的 IP 对 Internet 的请求都转到 ALLMAC 链进行 IP/MAC 地址绑定检查。所有其他用户(用户 4、用户 5、用户 6 ......)的 IP 从 Internet 回复请求都转到 ALLMAC 链进行 IP 地址检查。
ALLMAC 链源是具有以下 mac 地址的用户 4 IP 接受(iptables -t filter ALLMAC -s 192.168.1.1 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT)目标用户 4 IP -j ACCEPT(iptables -t filter ALLMAC -d 192.168.1.1 -j ACCEPT)
源是具有以下 mac 地址的用户 5 IP,接受(iptables -t filter ALLMAC -s 192.168.1.2 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT)目标用户 5 IP -j ACCEPT(iptables -t filter ALLMAC -d 192.168.1.2 -j ACCEPT)
源是具有以下 mac 地址的用户 6 IP,接受(iptables -t filter ALLMAC -s 192.168.1.3 -m mac --mac-source 00:01:02:03:04:05:06 -j ACCEPT)目标用户 6 IP -j ACCEPT(iptables -t filter ALLMAC -d 192.168.1.3 -j ACCEPT)
(想要在 ALLMAC 链中添加大约 800 个用户,就像上面的一样)所有其他未列出的用户将被删除(ALLMAC 链的结尾)
输出(丢弃)?用于接受有用端口的多重规则,从/用于 Internet 输出以及从/用于 LAN 输出。?
请帮助我解决这个简单的问题。并指导我这种限制用户 IP 并阻止未注册用户的好方法。
提前致谢。Rizwan。