LinuxDoc.RuДобрый день.
Прошу помочь в решении нетривиальной задаче.
До сего дня мои тазикишлюзы были (и есть слава богу) на FreeBSD. Пользователи запускаются в интернет через ipfw+dummynet+nat...
Курил маны по iptables но не обрёл понимания о порядке прохождения пакета по правилам и есть ли возможность динамически обновлять правила. в IPFW всё было просто и лаконично. Порядок прохождения пакета - понятен...
Помогите прмером строго на описанных ниже правилах...
Правила для пользователей добавляются динамически...
Пример набора правил:
100 divert natd ip from any to any via re0
10100 allow ip from 192.168.1.30 to any keep-state
10200 allow ip from 192.168.1.62 to any keep-state
60000 fwd 192.168.1.1,80 ip from 192.168.1.0/24 to any
65535 deny from all
правила с 10000 до 20000 - «зарезервированы» для пользователей. Если айпишника, с которого ломится пользователь, нет в списке правил - он весь форвардится на страничку с табличкой «Закрыто!»... Как только правило появилось - пошёл в интернет.
При чём на лету можно сделать ipfw delete 10100, и айпи 192.168.1.30 снова маринуется сам в себе...
КАК это реализовать в iptables?
Не могли бы вы показать аналог того, что описано выше, на iptables? с нумерацией правил и возможностью добавленияудаления на лету?
Если нет, что ещё можно использовать в Debian Linux для работы с траффиком так, как я описал?
прошу отнестись с пониманием. Спасибо.
