Записал на DIR-320 файл /usr/local/sbin/post-firewall
Вот его содержимое:
Code:
#!/bin/sh
# limits TCP conections by 60 for mac address
#
insmod xt_connlimit
iptables -I FORWARD -p tcp -m connlimit --connlimit-above 60 -m mac --mac-source 00:19:67:cd:68:d1 -j REJECT
Вот фрагмент вывода iptables-save
Code:
-A FORWARD -p tcp -m connlimit --connlimit-above 60 --connlimit-mask 32 --connlimit-saddr -m mac --mac-source 00:19:67:cd:68:d1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o wan0 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -s 192.168.1.105/32 -i br0 -p tcp -m time --timestart 23:00:00 --timestop 08:00:00 -j DROP
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
Хочу понять, имеет ли значение в данном случае что это правило на первом месте, а не на последнем? Если да, то куда его лучше воткнуть вперед или назад?