1. Очищаем текущую цепочку FORWARD, чтобы не путаться в номерах

iptables -F FORWARD

2. Первым делом — разрешаем ответы (чтобы сервер и интернет работали)

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

3. Директор (Полный доступ)

iptables -A FORWARD -s 192.168.10.10 -j ACCEPT

4. Кладовщик (Только интернет: ICMP, 80, 443)

! -d 192.168.0.0/16 означает "кроме локальной сети"

iptables -A FORWARD -s 192.168.30.30 -d 192.168.0.0/16 -j DROP iptables -A FORWARD -s 192.168.30.30 -p icmp -j ACCEPT iptables -A FORWARD -s 192.168.30.30 -p tcp -m multiport --dports 80,443 -j ACCEPT

5. Бухгалтер

Разрешаем к серверу

iptables -A FORWARD -s 192.168.20.20 -d 192.168.40.40 -p icmp -j ACCEPT iptables -A FORWARD -s 192.168.20.20 -d 192.168.40.40 -p tcp --dport 80 -j ACCEPT

Запрещаем к остальной локалке (Директору и Кладовщику)

iptables -A FORWARD -s 192.168.20.20 -d 192.168.0.0/16 -j DROP

Разрешаем в интернет (всё остальное)

iptables -A FORWARD -s 192.168.20.20 -j ACCEPT

6. DNS (чтобы имена сайтов разрешались)

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

test

1.4 KiB Raw Blame History