Linux服務器承擔整個校園網訪問因特網的網關,在Linux環境中,有一個非常靈活的IP過濾工具是iptables,這個工具在使用的時候可以設置多個條件同時滿足才允許通過IP數據,利用這個功能就可以實現地址綁定功能。設計理念是隻有IP地址和MAC地址同時滿足條件時才允許數據轉發,命令如下:
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.6.200 -m mac --mac-source 00:11:5B:EF:7A:D8 -j ACCEPT
iptables -A FORWARD -s 192.168.6.201 -m mac --mac-source 50:78:4C:4A:46:C0 -j ACCEPT
iptables -A FORWARD -s 192.168.6.202 -m mac --mac-source 00:10:5C:E4:A8:50 -j ACCEPT
上面第一行是轉發策略,意思是沒有指定的轉發鏈是禁止轉發任何數據的。第二行表示只有滿足IP地址是192.168.6.200同時MAC地址爲00:11:5B:EF:7A:D8才允許轉發,類似的第三、四行分別綁定的是192.168.6.201和192.168.6.202。每臺機器對應這樣一行,就可以實現所有機器IP地址與MAC地址的綁定。解除綁定狀態只要把上面命令行中的-A替換爲-D就可以刪除本轉發鏈,同時還要把轉發策略改爲ACCEPT。以上的命令需要配合POSTROUTING鏈纔可以實現上網功能。
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.6.200 -m mac --mac-source 00:11:5B:EF:7A:D8 -j ACCEPT
iptables -A FORWARD -s 192.168.6.201 -m mac --mac-source 50:78:4C:4A:46:C0 -j ACCEPT
iptables -A FORWARD -s 192.168.6.202 -m mac --mac-source 00:10:5C:E4:A8:50 -j ACCEPT
上面第一行是轉發策略,意思是沒有指定的轉發鏈是禁止轉發任何數據的。第二行表示只有滿足IP地址是192.168.6.200同時MAC地址爲00:11:5B:EF:7A:D8才允許轉發,類似的第三、四行分別綁定的是192.168.6.201和192.168.6.202。每臺機器對應這樣一行,就可以實現所有機器IP地址與MAC地址的綁定。解除綁定狀態只要把上面命令行中的-A替換爲-D就可以刪除本轉發鏈,同時還要把轉發策略改爲ACCEPT。以上的命令需要配合POSTROUTING鏈纔可以實現上網功能。
本文出自 “lfknight” 博客,請務必保留此出處http://lfknight.blog.51cto.com/20655/39600
