Подскажите как с помощью iptables заблокировать определенный сайт для пользователей, который мой шлюз?

Установив прокси, это не проблема, а без прокси?

Примерно так:
iptables -A FORWARD -t filter -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable

Примерно так:
iptables -A FORWARD -t filter -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable »

не работает, ты забыл еще -p tcp
iptables -t filter -A FORWARD -s 192.168.1.0/24 -p tcp -d 81.176.227.11 --dport 80 -j DROP

Так тоже, SOS

Да, торопился:
iptables -A FORWARD -t filter -p tcp -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable

И честно из постановки задачи не понятно, как организован доступ к сети интернет.
Я посчитал, что организован NAT, поэтому все что пришло из внутренней сети и имеет адресом назначения реальный внешний IP-адрес попадает в цепочку FORWARD.
Не понятно также что значит заблокировать доступ? По какому порту?

Кстати:
odnoklassniki.ru has address 81.176.227.11
odnoklassniki.ru has address 81.176.227.133

Я знаю, про то что два IP
#nslookup odnoklassniki.ru

Non-authoritative answer:
Name: odnoklassniki.ru
Address: 81.176.227.133
Name: odnoklassniki.ru
Address: 81.176.227.11


порт 80
организовать доступ, не проблема, но вот залочить доступ к определенным сайтам очень нужно, а то сотрудники много трафика и времени проводят на них.

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.11 --dport 80 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.133 --dport 80 -j DROP

Приведенные вами правила не работают?
Если нет - давайте полный список правил.

Вот кусок правил. Можешь сделать drop по умолчанию и открыть нужные службы только тебе. Но Я делаю на обарот.

iptables -F
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 91.192.21.69
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024:65535 -d any/0 --dport 5190 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024:65535 -d any/0 --dport 2041 -j DROP

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.11 --dport 80 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.133 --dport 80 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 87.249.15.39 --dport 80 -j DROP

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.102 --dport 110 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.111 --dport 25 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.159 --dport 110 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.115 --dport 25 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.6 --dport 110 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.113 --dport 25 -j DROP


Все тема закрыта, все работает.

Не работает проброс портов.

iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 4808 -j DNAT --to-destination 192.168.2.210:4808
iptables -A FORWARD -i eth0 -d 192.168.2.210 -p tcp --dport 4808 -j ACCEPT

Подскажите может, я указал что не так?

Проблему я решил, но частично.

Теперь пользователи, используют прокси сервера. Можно как то прикратить это болавство?

Проблему я решил, но частично.
Теперь пользователи, используют прокси сервера. Можно как то прикратить это болавство? »

Посмотрите squidGuard, можно резать рекламу, сайты и т.д.

Еще фтп через iptables решил, но пока только в пасивном режиме можно подключаться.


iptables -t filter -p tcp -i eth1 -A INPUT -s 192.168.1.0/24 --sport 1024:65535 -d 192.168.1.200 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -p tcp -o eth1 -A OUTPUT -s 192.168.1.200 --sport 21 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -p tcp -i eth1 -A INPUT -s 192.168.1.0/24 --sport 1024:65535 -d 192.168.1.200 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -p tcp -o eth1 -A OUTPUT -s 192.168.1.200 --sport 1024:65535 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -p tcp -o eth1 -A OUTPUT -s 192.168.1.200 --sport 20 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -p tcp -i eth1 -A INPUT -s 192.168.1.0/24 --sport 1024:65535 -d 192.168.1.200 --dport 20 -m state --state ESTABLISHED -j ACCEPT

какой порт использует yum для подключения к репозитареем.

iptables -P INPUT DROP
iptables -P OUTPUT DROP

разрешил с сервера 53, 80 порты, ну и нужные службы.

А вот yum работать не хочет. А обновления не нужны.

:help:

Все решил проблему, открыв UDP порт 53.

Гуру, скажите samba какие порты использует для своей работы?

Всем доброго времени суток.
Подскажите пожалуйста можно ли блокировать сайты с помощью Dlink DI-804HV01 ?

Подскажите, какую команду в терминале нужно ввести, чтобы заблокировать гугл и ютуб?