Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   [решено] Блокировка сайтов, с помощью iptables. БЕЗ ПРОКСИ Сервера. (http://forum.oszone.net/showthread.php?t=95628)

voler 07-12-2007 13:11 692578

Блокировка сайтов, с помощью iptables. БЕЗ ПРОКСИ Сервера.
 
Подскажите как с помощью iptables заблокировать определенный сайт для пользователей, который мой шлюз?

Установив прокси, это не проблема, а без прокси?

Dm1try 07-12-2007 13:41 692609

Примерно так:
iptables -A FORWARD -t filter -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable

voler 07-12-2007 14:53 692680

Цитата:

Цитата Dm1try
Примерно так:
iptables -A FORWARD -t filter -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable »

не работает, ты забыл еще -p tcp
Цитата:

iptables -t filter -A FORWARD -s 192.168.1.0/24 -p tcp -d 81.176.227.11 --dport 80 -j DROP
Так тоже, SOS

Dm1try 07-12-2007 15:42 692749

Да, торопился:
iptables -A FORWARD -t filter -p tcp -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable

И честно из постановки задачи не понятно, как организован доступ к сети интернет.
Я посчитал, что организован NAT, поэтому все что пришло из внутренней сети и имеет адресом назначения реальный внешний IP-адрес попадает в цепочку FORWARD.
Не понятно также что значит заблокировать доступ? По какому порту?

Кстати:
odnoklassniki.ru has address 81.176.227.11
odnoklassniki.ru has address 81.176.227.133

voler 07-12-2007 16:19 692775

Я знаю, про то что два IP
#nslookup odnoklassniki.ru
Цитата:

Non-authoritative answer:
Name: odnoklassniki.ru
Address: 81.176.227.133
Name: odnoklassniki.ru
Address: 81.176.227.11
порт 80
организовать доступ, не проблема, но вот залочить доступ к определенным сайтам очень нужно, а то сотрудники много трафика и времени проводят на них.

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.11 --dport 80 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.133 --dport 80 -j DROP

Dm1try 07-12-2007 16:42 692791

Приведенные вами правила не работают?
Если нет - давайте полный список правил.

voler 10-12-2007 08:59 694169

Вот кусок правил. Можешь сделать drop по умолчанию и открыть нужные службы только тебе. Но Я делаю на обарот.
Цитата:

iptables -F
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 91.192.21.69
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024:65535 -d any/0 --dport 5190 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024:65535 -d any/0 --dport 2041 -j DROP

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.11 --dport 80 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.133 --dport 80 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 87.249.15.39 --dport 80 -j DROP

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.102 --dport 110 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.111 --dport 25 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.159 --dport 110 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.115 --dport 25 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.6 --dport 110 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.113 --dport 25 -j DROP
Все тема закрыта, все работает.

voler 10-12-2007 15:02 694411

Не работает проброс портов.

iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 4808 -j DNAT --to-destination 192.168.2.210:4808
iptables -A FORWARD -i eth0 -d 192.168.2.210 -p tcp --dport 4808 -j ACCEPT

Подскажите может, я указал что не так?

voler 20-12-2007 09:00 700357

Проблему я решил, но частично.

Теперь пользователи, используют прокси сервера. Можно как то прикратить это болавство?

must die 20-12-2007 09:06 700362

Цитата:

Цитата voler
Проблему я решил, но частично.
Теперь пользователи, используют прокси сервера. Можно как то прикратить это болавство? »

Посмотрите squidGuard, можно резать рекламу, сайты и т.д.

voler 21-12-2007 15:02 701268

Еще фтп через iptables решил, но пока только в пасивном режиме можно подключаться.

PHP код:

iptables -t filter -p tcp -i eth1 -A INPUT -s 192.168.1.0/24 --sport 1024:65535 -d 192.168.1.200 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables 
-t filter -p tcp -o eth1 -A OUTPUT -s 192.168.1.200 --sport 21 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables 
-t filter -p tcp -i eth1 -A INPUT -s 192.168.1.0/24 --sport 1024:65535 -d 192.168.1.200 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables 
-t filter -p tcp -o eth1 -A OUTPUT -s 192.168.1.200 --sport 1024:65535 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables 
-t filter -p tcp -o eth1 -A OUTPUT -s 192.168.1.200 --sport 20 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables 
-t filter -p tcp -i eth1 -A INPUT -s 192.168.1.0/24 --sport 1024:65535 -d 192.168.1.200 --dport 20 -m state --state ESTABLISHED -j ACCEPT 


voler 28-12-2007 11:15 705546

какой порт использует yum для подключения к репозитареем.

iptables -P INPUT DROP
iptables -P OUTPUT DROP

разрешил с сервера 53, 80 порты, ну и нужные службы.

А вот yum работать не хочет. А обновления не нужны.

:help:

Все решил проблему, открыв UDP порт 53.

voler 04-01-2008 12:59 708682

Гуру, скажите samba какие порты использует для своей работы?

Thristman 30-09-2009 11:09 1231066

Всем доброго времени суток.
Подскажите пожалуйста можно ли блокировать сайты с помощью Dlink DI-804HV01 ?

Baiker 11-04-2015 10:42 2494428

Подскажите, какую команду в терминале нужно ввести, чтобы заблокировать гугл и ютуб?


Время: 01:53.

Время: 01:53.
© OSzone.net 2001-