URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73789
[ Назад ]
Исходное сообщение
"Помогите создаь простое правило"
Отправлено fantom_111 , 28-Апр-07 16:35 
Помогите создаь простое правило, для ограничения доступа к определенным IP адресам из локальной сети, при помощи iptables. Например вот сюда 194.67.57.200
Содержание
Сообщения в этом обсуждении
"Помогите создаь простое правило"
Отправлено Nimdar , 28-Апр-07 16:55 
>Помогите создаь простое правило, для ограничения доступа к определенным IP адресам из
>локальной сети, при помощи iptables. Например вот сюда 194.67.57.200

man iptables

Документацию читать не любим и/или не хотим, а хотим, чтобы взрослые и умные дяди всё сделали за нас.

"Помогите создаь простое правило"
Отправлено fantom_111 , 28-Апр-07 17:03 
>man iptables
>
>Документацию читать не любим и/или не хотим, а хотим, чтобы взрослые и
>умные дяди всё сделали за нас.

читал документацию, хотя не все понятно

вот например сделал правило

-A OUTPUT -d 194.67.57.200 -j DROP

а оно не работоет.

Подскажите что сделал не так?

"Помогите создаь простое правило"
Отправлено demon , 28-Апр-07 17:19 
>вот например сделал правило
>-A OUTPUT -d 194.67.57.200 -j DROP
>а оно не работоет.
>Подскажите что сделал не так?

Посмотри в той ли цепочке ты делаешь новое правило? Хинт: в цепочку OUTPUT попадают только пакеты сгенерированные данным конкретным компьютером.

"Помогите создаь простое правило"
Отправлено fantom_111 , 28-Апр-07 20:26 
>>вот например сделал правило
>>-A OUTPUT -d 194.67.57.200 -j DROP
>>а оно не работоет.
>>Подскажите что сделал не так?
>
>Посмотри в той ли цепочке ты делаешь новое правило? Хинт: в цепочку
>OUTPUT попадают только пакеты сгенерированные данным конкретным компьютером.

А как же сделать что бы из локальной подсети работало такое правило?

"Помогите создаь простое правило"
Отправлено Nimdar , 28-Апр-07 17:20 
-I OUTPUT -d 194.67.57.200 -j DROP

-A, --append chain rule-specification
              Append one or more rules to the end of the selected chain.  When the source and/or destination  names  resolve
              to more than one address, a rule will be added for each possible address combination.

-I, --insert chain [rulenum] rule-specification
              Insert one or more rules in the selected chain as the given rule number.  So, if the rule  number  is  1,  the
              rule or rules are inserted at the head of the chain.  This is also the default if no rule number is specified.

"Помогите создаь простое правило"
Отправлено Oyyo , 28-Апр-07 20:25 

>Помогите создаь простое правило, для ограничения доступа к определенным IP адресам из >локальной сети, при помощи iptables. Например вот сюда 194.67.57.200


iptables -I FORWARD -d 194.67.57.200 -j DROP

"Помогите создаь простое правило"
Отправлено fantom_111 , 30-Апр-07 12:42 
>
>>Помогите создаь простое правило, для ограничения доступа к определенным IP адресам из >локальной сети, при помощи iptables. Например вот сюда 194.67.57.200
>
>
>iptables -I FORWARD -d 194.67.57.200 -j DROP

Такое правило то же не работает.

"Помогите создаь простое правило"
Отправлено fantom_111 , 30-Апр-07 14:20 
Все заработало но только после того как поставил следующее правило.


iptables -A FORWARD -d win.mail.ru -j DROP

Оказывается ресурс win.mail.ru использует 2 IP адреса.

В связи с этим возник следующий вопрос как запретить доступ к той же странице через анонимные вебпрокси, например вот черз этот http://anonymouse.org.
В MS ISA есть возможность настраивать политику http, т.е. вписывая ту же страницу win.mail.ru в политику ограничивающюю http политику, данная страница не открывается уже ни как.

Подскажите как это можно реализовать при помощи iptables.

"Помогите создаь простое правило"
Отправлено fantom_111 , 02-Май-07 11:37 
Подскажите как это можно реализовать при помощи iptables.