Суть сообственно такая: нужно клиентской тачке резать все айпи кроме одного. Инет тачке дается маскарадингом??? Плиз памагите пжлст!
>Суть сообственно такая: нужно клиентской тачке резать все айпи кроме одного. Инет
>тачке дается маскарадингом??? Плиз памагите пжлст!че за ось то?
RedHat
Ну так добавьте в правило маскарадинга проверку на ip, хотя корректней будет сделать reject в таблице filter
плиз скажи как я нуб в этом есчо пока. Можешь пример привести а?
>плиз скажи как я нуб в этом есчо пока. Можешь пример привести
>а?как понял из невнятного ТЗ, нужен доступ в инет только для 1 ip, а остальные не пускать в инет?
Есть тачка инет ей даетсЯ вот так :iptables -t nat -A POSTROUTING -s 192.168.105.156 -o eth0 -j MASQUERADE
Мне нужно чтобы эта тачка ходила в инет только на один айпи. К примеру на 195.32.65.76. А весь остальной трафик резался. Вот собственно и все.
>Есть тачка инет ей даетсЯ вот так :
>
>iptables -t nat -A POSTROUTING -s 192.168.105.156 -o eth0 -j MASQUERADE
>
>Мне нужно чтобы эта тачка ходила в инет только на один айпи.
>К примеру на 195.32.65.76. А весь остальной трафик резался. Вот собственно
>и все.поиграйся с правилом
iptables -A INPUT -p tcp ! 195.32.65.76 -j DROPну и так далее, порты и протоколы выбери сам
Я так понял это только дропается один айпи. Этож мне все мировые сети надо загнать под это правило. Я ж с сума сойду! ) Надо что типа как на фтп серверах - Denyall а потом allow from #айпи что-то типа такого
>Я так понял это только дропается один айпи. Этож мне все мировые
>сети надо загнать под это правило. Я ж с сума сойду!
>) Надо что типа как на фтп серверах - Denyall а
>потом allow from #айпи что-то типа такогонет, наоборот, дропает все ИП кроме одного
iptables -A FORWARD -p tcp ! 195.32.65.76 -j DROP
в этом случае клиент будет получать стандартный ответ браузера о недоступности запрашиваемого сервера (кроме разрешённого)
если написать правило
iptables -t nat -I PREROUTING -s $IP_CLIENTA -d 0.0.0.0/0 -j DNAT --to-destination 195.32.65.76
то клиент при запросе любого хоста будет попадать на указанный сервер (195.32.65.76) не получая сообщений об ошибке
З.Ы.
повторил чужое правило и сошибкой
iptables -A FORWARD -d ! 195.32.65.76 -j DROP
А типа дело в знаке отрицания! :)
А мне не надо чтобы он переадресовывался на один и тот же адрес. Надо чтобы просто браузер писал типа не ттакой страницы
>А мне не надо чтобы он переадресовывался на один и тот же
>адрес. Надо чтобы просто браузер писал типа не ттакой страницыЕсли вам надо именно так. То придется поднять локальный вебсервер и все запросы заворачивать на него, настройка такой связки несколько выходит за рамки простого вопроса на форуме.
Если просто используете правило iptables -A INPUT -p tcp ! 195.32.65.76 -j DROP, то браузер(и любые другие программы обращающиеся в сеть) будут очень долго ждать потом поругаются на timeout. Лучше DROP заменить на REJECT, в таком случае будет получать мгновенный ответ типа "сеть недоступна" на всех IP кроме указанного в правиле.
а как вот это правило привезать к конкретной машине?
Кто-нить скажите как это правило "iptables -A INPUT -p tcp ! 195.32.65.76 -j REJECT" привязать к конкретной машине??? Скажите плиз это самое важное!
Предположим что машине 192.168.1.1 нужно разрешить доступ на ip 195.32.65.76 и никуда более. Также предположим что всем остальным машинам дается полный NAT. В таком случае удобней будет обрезать доступ в таблице filter, цепочке FORWARD( INPUT упомянутый ранее в треде не подходит), достаточно будет закрыть исходящее соединение. Также не будем ограничиваться только tcp
iptables -A FORWARD -s 192.168.1.1 -d ! 195.32.65.76 -j REJECT
Спасибо!