IPTables के माध्यम से कुछ IP को छोड़कर मैं आउटबाउंड ट्रैफ़िक को कैसे अवरुद्ध करूं?

मेरे पास एक Asus वायरलेस राउटर है जिसे MERLIN के साथ फ्लैश किया गया था। मैं भी कई आईपी कैमरा वाईफ़ाई के माध्यम से जुड़ा हुआ है। मैं IP कैमरों को आउटबाउंड अक्षम करके घर पर कॉल करने की कोशिश से रोकना चाहता हूं। जो मैंने इसके साथ किया

हालांकि कुछ चीजें हैं जो मैं करना चाहूंगा।

1. डिफ़ॉल्ट द्वारा रोकें आईपी कैमरों मेरी नेटवर्क के बाहर किसी भी डेटा भेजने के लिए।
2. अपवाद: आईपी कैमरा को ईमेल भेजने के लिए पोर्ट 465 (SMTPS पोर्ट) से कनेक्ट और भेजना होगा।
3. अपवाद: मुझे कुछ IP पते (कुछ IP श्रेणी) हैं जो PORT के माध्यम से दूरस्थ रूप से कैमरे तक पहुंचने में सक्षम हैं। इसलिए मुझे एक नियम की आवश्यकता है जो डिफ़ॉल्ट के लिए एक अपवाद है।

मेरे पास पोर्ट फ़ॉरवर्डिंग सेटअप पहले से है।

इसलिए उदाहरण के लिए: 192.168.1.2:123 (123 ब्राउज़र के माध्यम से कैमरे का उपयोग करने के लिए उपयोग किया जाने वाला पोर्ट है) जिस तरह से मैं इसे ब्राउज़र के माध्यम से ऑनलाइन कनेक्ट कर सकता हूं। मैं यह भी चाहता हूं कि यह केवल स्थानीय स्तर पर ही नहीं बल्कि होम नेटवर्क के बाहर भी उपलब्ध हो। यदि आप आईपी एड्रेस नहीं हैं, तो यदि आप स्वीकार किए जाते हैं, तो आपको DROPPED मिल जाएगा। बाउंसर की तरह। तो अनिवार्य रूप से मेरा काम कंप्यूटर पोर्ट 123 के माध्यम से उस कैमरे तक पहुंच सकता है जो मैं करने की कोशिश कर रहा हूं।

मैं लिनक्स को समझता हूं और मुझे आईपीटीएबीएलईएस के लिए कुछ झंडे पता हैं, लेकिन सिर्फ इतना नहीं कि मुझे एक विशेषज्ञ की जरूरत है।

धन्यवाद!

यदि आपके कैमरे एक मानक सबनेट पर हैं तो काम आसान हो जाएगा। फिर आप नीचे वर्णित प्रत्येक नियम में सबनेट का उल्लेख कर सकते हैं। अन्यथा, आप इस पोस्ट या समान को बेहतर ढंग से देखते हैं ।

कैम की आईपी रेंज को निर्दिष्ट करने के तरीके से निपटने के बाद, आप --syn विकल्प का उपयोग करके अपने कैमरों द्वारा शुरू किए गए सभी पैकेटों को आसानी से छोड़ सकते हैं (वे टीसीपी कनेक्शन हैं)। यह एक उदाहरण है जो सभी कैमरों को मानता है (<= 8 कैम और कोई अन्य सिस्टम) 192.168.1.0/29 के एक सबनेट पर हैं

#1    iptables -A FORWARD -s 192.168.1.0/29 -p tcp --dport 465 -j ACCEPT
#2    iptables -A FORWARD -d 192.168.1.0/29 -p tcp --sport 465 -j ACCEPT
#3    iptables -A FORWARD -s 192.168.1.0/29 -p tcp --syn -j DROP
#4    iptables -A FORWARD -s 192.168.1.0/29 -p udp -j DROP

# 2 केवल तभी जोड़ें जब NAT लिनक्स बॉक्स पर नहीं किया गया हो।

कैम प्रकाशित करने के लिए:

iptables -t nat -A PREROUTING -p tcp --dport 1202 -j DNAT 192.168.1.2:123
iptables -t nat -A PREROUTING -p tcp --dport 1203 -j DNAT 192.168.1.3:123
iptables -t nat -A PREROUTING -p tcp --dport 1204 -j DNAT 192.168.1.4:123

लेकिन केवल उन विशिष्ट IP पतों को उन तक पहुँचने दें:

iptables -A FORWARD -s trustedip1 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip2 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip3 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/29 -p tcp --dport 123 -j DROP

बेशक, यदि कैमरा पते एक सबनेट में बड़े करीने से नहीं हैं, तो आपको 192.168.1.0/29 pwith कैमरा आईपी पते को स्वैप करना होगा और प्रत्येक के लिए नियम को दोहराना होगा।