Подскажите пожалуйста, как сделать так, чтобы некоторые пользователи могли ходить только на определенный сайт. Выход в интернет через маскарад. Очень бы помогли, т.к. сам не особо хорошо разбираюсь в этом деле. Спасибо.

• Вопрос по iptables,Varran, 12:32 , 14-Май-03
  • Вопрос по iptables,salex, 12:47 , 14-Май-03
    • Вопрос по iptables,Bart_Simpson, 12:48 , 14-Май-03
  • Вопрос по iptables,Bart_Simpson, 12:47 , 14-Май-03
    • Вопрос по iptables,salex, 12:54 , 14-Май-03
      • Вопрос по iptables,Bart_Simpson, 13:20 , 14-Май-03
        • Вопрос по iptables,salex, 13:39 , 14-Май-03
          • Вопрос по iptables,nece, 13:55 , 14-Май-03

>Подскажите пожалуйста, как сделать так, чтобы некоторые пользователи могли ходить только на
>определенный сайт. Выход в интернет через маскарад. Очень бы помогли, т.к.
>сам не особо хорошо разбираюсь в этом деле. Спасибо.

если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
типа
iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j SNAT --to-source zzz.zzz.zzz.zzz

ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи на opennet доку по iptables.

>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и
>адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
> типа
>iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j
>SNAT --to-source zzz.zzz.zzz.zzz
>
>ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи
>на opennet доку по iptables.

Дело в том, что нет реального ip, смотрящего в инет.

>>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и
>>адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
>> типа
>>iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j
>>SNAT --to-source zzz.zzz.zzz.zzz
>>
>>ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи
>>на opennet доку по iptables.
>
>Дело в том, что нет реального ip, смотрящего в инет.

читай ниже, на форварде с их внутреннего ip на ip назначения фильтровть и все.

>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и
>адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
> типа
>iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j
>SNAT --to-source zzz.zzz.zzz.zzz
>
>ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи
>на opennet доку по iptables.

Лучше на forwarde все это фильтровать.

>Лучше на forwarde все это фильтровать.

Доку читал, но пока мало что понял, а нельзя ли показать, как это примерно все будет выглядеть (показать в каком направлении действовать).

>
>>Лучше на forwarde все это фильтровать.
>
>Доку читал, но пока мало что понял, а нельзя ли показать, как
>это примерно все будет выглядеть (показать в каком направлении действовать).

http://www.google.ru
iptables tutorial

>http://www.google.ru
>iptables tutorial

Спасибо, сам вряд ли бы когда догадался.

Разрешаем выходить только на один опредилённый хост.

Предположим твоя сетка 10.10.10.0/24

# Разрешаем себе со своей машины куда угодно
/sbin/iptables -A FORFARD -s 10.10.10.114 -j ACCEPT

# Разрешаем юзеру X c ip 10.10.10.7 выход толька на yandex (xxx.xxx.xxx.xxx)
/sbin/iptables -A FORFARD -s 10.10.10.7 -d xxx.xxx.xxx.xxx -j ACCEPT
Тоесть этот узер сможет выйти только на сервер с ip xxx.xxx.xxx.xxx
а на другие(в инете) ip ему выход будет закрыт.

#Запрещаем всем выходить в инет
/sbin/iptables -A FORFARD -s 10.10.10.0/24 -j DROP

Если чего пиши. УДАЧИ