iptables: Permitir tráfego multicast e outros na LAN, não na WAN

0

Eu tenho uma máquina Linux 3.10 funcionando como um roteador NAT entre o wlan0 LAN e o eth0 WAN. Eu gostaria de permitir toda a comunicação entre as máquinas na LAN (elas são confiáveis) e permitir que elas se conectem o quanto quiserem, mas desautorize todo o tráfego de entrada não solicitado para o roteador e as máquinas NATted.

Eu também gostaria de bloquear todo o tráfego multicast de saída tanto do roteador quanto das máquinas LAN, como o administrador da LAN me chamou para o tráfego multicast da minha máquina antes.

Meu arquivo iptables.rules é assim:

# Generated by iptables-save v1.4.21 on Sun Apr 20 21:38:37 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [23:2184]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlan0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m pkttype --pkt-type multicast -j DROP
COMMIT
# Completed on Sun Apr 20 21:38:37 2014
# Generated by iptables-save v1.4.21 on Sun Apr 20 21:38:37 2014
*nat
:PREROUTING ACCEPT [1643:178375]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Apr 20 21:38:37 2014

Como posso modificá-lo para que os clientes da rede local (e o roteador!) possam se comunicar uns com os outros? A regra OUTPUT filtra todo o multicast deixando para a WAN como eu quero?

* na verdade não gritou mas perto o suficiente

    
por thirtythreeforty 06.05.2014 / 21:35

0 respostas