Есть vpn сервер который раздает инет в локалке.Конфигурация следующая:
ip сервера: 192.168.8.1 интерфейс eth0
сервер статистики: 192.168.108.1 интерфейс eth0:0
vpn сеть: 192.168.108.0/24 интерфейсы ppp+
внешний ip: 192.168.0.12 интерфес eth1
Трафик считается ipcad и пихается в базу.
Как запретить доступ пользователей vpn сети друг к другу?
Если послать icmp пакет допустим от 192.168.108.40 к 192.168.108.53 то ответа не получим но входящий трафик на 192.168.108.53 посчитается.
Сделал как написано ниже но трафик всеравно считается... :(
Что сделать чтоб сеть 192.168.108.0/24 не обсчитывалась?
Настройки iptables:
#!/bin/sh
#
#
iptables --flush
iptables -t nat --flush
clear
#
iptables -P INPUT DROP
iptables -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -i ppp+ -d 192.168.0.12 -j ACCEPT
iptables -A INPUT -i ppp+ -d 192.168.108.8 -j ACCEPT
iptables -A INPUT -i eth2 -d 192.168.0.12 -j ACCEPT
iptables -A INPUT -i eth0 -d 192.168.8.8 -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o ppp+ -s 192.168.0.12 -j ACCEPT
iptables -A OUTPUT -o ppp+ -s 192.168.108.8 -j ACCEPT
iptables -A OUTPUT -o eth2 -s 192.168.0.12 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.8.8 -j ACCEPT
#
iptables -A FORWARD -i eth0 -j DROP
iptables -A FORWARD -i ppp+ -o ppp+ -j DROP
iptables -A FORWARD -s 192.168.108.0/24 -d 192.168.108.0/24 -j DROP
iptables -A FORWARD -s 192.168.108.0/24 -d 192.168.8.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 135 -s 192.168.108.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 139 -s 192.168.108.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 445 -s 192.168.108.0/24 -j DROP
iptables -A FORWARD -p udp --dport 137 -s 192.168.108.0/24 -j DROP
iptables -A FORWARD -p udp --dport 138 -s 192.168.108.0/24 -j DROP
iptables -A FORWARD -p udp --dport 445 -s 192.168.108.0/24 -j DROP
#
iptables -t nat -A PREROUTING -p tcp -s 192.168.108.0/24 -d ! 192.168.108.0/24 --dport 80 -j DNAT --to 192.168.0.12:3128
#
iptables -t nat -A POSTROUTING -o eth1-s 192.168.108.0/24 -j SNAT --to 192.168.0.12
Версия для распечатки
Настройка iptables, 
bsa_serge, 18-Фев-07, 13:47 [смотреть все]
