[Dm1try]

Примерно так:
iptables -A FORWARD -t filter -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable

[voler]

Цитата Dm1try:

Примерно так: iptables -A FORWARD -t filter -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable »

не работает, ты забыл еще -p tcp

Цитата:

iptables -t filter -A FORWARD -s 192.168.1.0/24 -p tcp -d 81.176.227.11 --dport 80 -j DROP

Так тоже, SOS

[Dm1try]

Да, торопился:
iptables -A FORWARD -t filter -p tcp -s <$LAN_IP_RANGE> -d <IP сайта> --dport 80 -j DROP --reject-with icmp-host-unreachable

И честно из постановки задачи не понятно, как организован доступ к сети интернет.
Я посчитал, что организован NAT, поэтому все что пришло из внутренней сети и имеет адресом назначения реальный внешний IP-адрес попадает в цепочку FORWARD.
Не понятно также что значит заблокировать доступ? По какому порту?

Кстати:
odnoklassniki.ru has address 81.176.227.11
odnoklassniki.ru has address 81.176.227.133

[voler]

Я знаю, про то что два IP
#nslookup odnoklassniki.ru

Цитата:

Non-authoritative answer: Name: odnoklassniki.ru Address: 81.176.227.133 Name: odnoklassniki.ru Address: 81.176.227.11

порт 80
организовать доступ, не проблема, но вот залочить доступ к определенным сайтам очень нужно, а то сотрудники много трафика и времени проводят на них.

iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.11 --dport 80 -j DROP
iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.133 --dport 80 -j DROP

[Dm1try]

Приведенные вами правила не работают?
Если нет - давайте полный список правил.

[voler]

Вот кусок правил. Можешь сделать drop по умолчанию и открыть нужные службы только тебе. Но Я делаю на обарот.

Цитата:

iptables -F iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 91.192.21.69 iptables -P OUTPUT ACCEPT iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024:65535 -d any/0 --dport 5190 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024:65535 -d any/0 --dport 2041 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.11 --dport 80 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 81.176.227.133 --dport 80 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 87.249.15.39 --dport 80 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.102 --dport 110 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.111 --dport 25 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.159 --dport 110 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.115 --dport 25 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.6 --dport 110 -j DROP iptables -t filter -A FORWARD -p tcp -s 192.168.1.0/24 -d 194.67.23.113 --dport 25 -j DROP

Все тема закрыта, все работает.

[voler]

Не работает проброс портов.

iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 4808 -j DNAT --to-destination 192.168.2.210:4808
iptables -A FORWARD -i eth0 -d 192.168.2.210 -p tcp --dport 4808 -j ACCEPT

Подскажите может, я указал что не так?

[voler]

Проблему я решил, но частично.

Теперь пользователи, используют прокси сервера. Можно как то прикратить это болавство?

[must die]

Цитата voler:

Проблему я решил, но частично. Теперь пользователи, используют прокси сервера. Можно как то прикратить это болавство? »

Посмотрите squidGuard, можно резать рекламу, сайты и т.д.