В этой статье я приведу пример IPTables правил для Accel-ppp.
Допустим по умолчанию «iptables -P INPUT ACCEPT» для всех соединений (а если DROP, что очень желательно, то тогда все DROP правила ниже не используем, выполняем только ACCEPT):
Разрешим доступ к DHCP только локальным сетям (адрес 0.0.0.0 указывать обязательно для L2 сети, так как клиент без IP адреса шлет DHCPDISCOVER с IP адреса 0.0.0.0 на 255.255.255.255):
/sbin/iptables -A INPUT -s 0.0.0.0 -p udp --dport 67 -j ACCEPT
/sbin/iptables -A INPUT -s 10.0.0.0/8 -p udp --dport 67 -j ACCEPT
/sbin/iptables -A INPUT -s 172.16.0.0/12 -p udp --dport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 67 -j DROP
Разрешим доступ к accel-cmd только биллингу и серверу на котором запущен accel-cmd:
/sbin/iptables -A INPUT -s 192.168.2.2/32 -p tcp --dport 2001 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.2.1/32 -p tcp --dport 2001 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2001 -j DROP
Разрешим accel-ppp принимать CoA/PoD только от биллинга:
/sbin/iptables -A INPUT -s 192.168.2.2/32 -p tcp --dport 3799 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.2.2/32 -p udp --dport 3799 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 3799 -j DROP
/sbin/iptables -A INPUT -p udp --dport 3799 -j DROP
Смотрите также другие мои статьи на тему Accel-ppp