[Comm] NAT

[Pavel S. Khmelinsky]

Oleg Frolkov wrote:
> Hello,
> 
> Подскажите плиз. Возможно-ли с помощью iptables разрешить для определенных
> ip адресов только исходящие соединения? т.е. чтобы снаружи на
> эти компы не пускалась ни какая дрянь, а изнутри можно было
> соединяться.
> 
> В общем хватило-бы NAT-а, но требуется для каждого копьютера реальный
> ip адрес, однако боязно виндам раздавать реальные ip видя сколько атак
> приходит на роутер чуть-ли не раз в 30-40 секунд....
> 
> Можно конечно завести определенный диапазон внутренних адресов и
> несколькими записями в postroute каждый натить через реальный ip,
> но это как-то кривовато, может есть более правильный способ?

Боюсь без NAT того что вы хотите сделать не получится. Можно 
попробовать просто закрыть все порты с 1-1024 в цепочке форвард 
на все Ваши виндовые машины, например так.

for ip in $WIN_HOSTS; do
	iptables -I FORWARD -p tcp --dport '1-1024' -o $in_if -i $out_if 
-j DROP
done

Где
	$WIN_HOSTS список виндовых машин
	$if_in	внутренний и-фейс, тот самый на котором висят виндовые машины
	$if_out	внешний и-фейс с выходом в инет.

Помоему так, хотя я не пробовал.