Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Доступ к сети (ограничение доступа), дистр. Ubuntu 7.10
svip | Профиль
Дата 3 Февраля, 2008, 23:42
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Есть машинка с ubuntu 7.10 на борте. Стоит в качестве роутера. внутренняя сеть - ноут и комп. нужно сделать чтобы с компьютера можно было зайти только на определенные сайты или как вариант запретить определенные сайты (ip).
Добрые люди подскажите как реализовать. можно ли обойтись без фаервола, только правилами для iptables???
Подскажите пожалуйста конкретным примером


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
6/5345   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
SlavaD | Профиль
Дата 3 Февраля, 2008, 23:56
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 14
Вне форума



Цитата(svip @ 3 Февраля, 2008, 22:42)
можно ли обойтись без фаервола, только правилами для iptables???
мда... команда iptables управляет фаерволом, так что если ты ее применяешь, то как раз и пользуешь фаервол

пример фаервола, для начала сбрасываем все правила, так сказать начинаем с чистого листа:
Код
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -F -t mangle
iptables -X -t mangle


дальше можешь закрыть лишние сайты:
Код
iptables -t mangle -A PREROUTING -d mail.ru -j DROP
iptables -t mangle -A PREROUTING -d microsoft.com -j DROP


теперь открыть интернет своей локальной сети
Код
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE


на самом деле данный пример не идеален, но усложнять не буду, разберись пока с этим
PMEmail Poster
5/7177   
svip | Профиль
Дата 4 Февраля, 2008, 0:08
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Цитата
мда... команда iptables управляет фаерволом, так что если ты ее применяешь, то как раз и пользуешь фаервол

я имел ввиду дополнительным файерволом. smile.gif

Дело в том что в сети есть вде тачки. вот именно на одной и нужно закрыть доступ.
iptables -t mangle -A PREROUTING -d mail.ru -j DROP - это правило -закрывает для всей сети
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT - это открыает для все й сети. а как для конкретного айпи?

Отредактировал svip - 4 Февраля, 2008, 0:09


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
4/5345   
SlavaD | Профиль
Дата 4 Февраля, 2008, 0:12
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 14
Вне форума



Цитата(svip @ 3 Февраля, 2008, 23:08)
а как для конкретного айпи?

Код
iptables -t mangle -A PREROUTING -s 192.168.1.2 -d mail.ru -j DROP
PMEmail Poster
4/7177   
alexk | Профиль
Дата 4 Февраля, 2008, 0:21
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Код

iptables -t mangle -A PREROUTING -d mail.ru -j DROP


дропать пакеты на первой возможной проверке, не нагружая маршрутизацию и conntrack... красиво.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
4/13986   
svip | Профиль
Дата 4 Февраля, 2008, 1:10
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Код

iptables -t mangle -A PREROUTING -s 192.168.1.2 -d 0.0.0.0/0 -j DROP
iptables -t mangle -A PREROUTING -s 192.168.1.2 -d mail.ru -j ACCEPT


так будет правильно задать правила для запрета всех адресов и разрешения заходить только на mail.ru??


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
3/5345   
SlavaD | Профиль
Дата 4 Февраля, 2008, 1:13
Quote Post



Тех. Админ
Group Icon

Группа: Admin
Сообщений: 503
Регистрация: 13.08.03
Авторитет: 14
Вне форума



сначала все пакеты убил... а потом уже открывать и некому wink.gif так правильно:
Код
iptables -t mangle -A PREROUTING -s 192.168.1.2 -d mail.ru -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.1.2 -d 0.0.0.0/0 -j DROP
PMEmail Poster
3/7177   
svip | Профиль
Дата 4 Февраля, 2008, 11:08
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


спасибо. не пойму откуда второй пост вылез. Удалил его.

Отредактировал svip - 4 Февраля, 2008, 11:09


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0662 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top