URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84594
[ Назад ]

Исходное сообщение
"Запретить доступ в интернет по IP"

Отправлено Александр , 21-Мрт-09 02:37 
Здравствуйте!
Есть сеть 192.168.0.0/24 и сервер на линукс.
добавляю такие правила:

iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -d 0.0.0.0/0 -o dsl0

компьютеры в сети могут выходить в интернет через сервер в качестве шлюза

а как можно навремя запретить а потом разрешить например IP 192.168.0.3 доступ в интернет?


Содержание

Сообщения в этом обсуждении
"Запретить доступ в интернет по IP"
Отправлено JohnProfic , 21-Мрт-09 04:34 
>[оверквотинг удален]
>iptables -P FORWARD ACCEPT
>
>iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -d 0.0.0.0/0 -o
>dsl0
>
>компьютеры в сети могут выходить в интернет через сервер в качестве шлюза
>
>
>а как можно навремя запретить а потом разрешить например IP 192.168.0.3 доступ
>в интернет?

iptables -A FORWARD -s 192.168.0.3 -j DROP


"Запретить доступ в интернет по IP"
Отправлено JohnProfic , 21-Мрт-09 04:37 
Это для запрещения, а для разрешения опять:
iptables -D FORWARD -s 192.168.0.3 -j DROP

"Запретить доступ в интернет по IP"
Отправлено rootiks , 21-Мрт-09 08:37 
>Это для запрещения, а для разрешения опять:
>iptables -D FORWARD -s 192.168.0.3 -j DROP
>Это для запрещения, а для разрешения опять:
>iptables -D FORWARD -s 192.168.0.3 -j DROP

iptables -F
iptables -x

В самый вверх скрипта поставь ... потом удали это строку где разрешаешь и перегрузи ...


"Запретить доступ в интернет по IP"
Отправлено Александр , 21-Мрт-09 12:09 
>>Это для запрещения, а для разрешения опять:
>>iptables -D FORWARD -s 192.168.0.3 -j DROP
>>Это для запрещения, а для разрешения опять:
>>iptables -D FORWARD -s 192.168.0.3 -j DROP
>
>iptables -F
>iptables -x
>
>В самый вверх скрипта поставь ... потом удали это строку где разрешаешь
>и перегрузи ...

Спасибо! Всё получилось))


"Запретить доступ в интернет по IP"
Отправлено sonkilla , 22-Мрт-09 20:17 

хмм странно а никому непоказалось подозрительным что фаирвола то по сути и нет? автору советую прочитать http://www.opennet.me/docs/RUS/iptables/  и наконецтаки настроить фаирвол по человечески.Подумайте о безопасности сервера.

"Запретить доступ в интернет по IP"
Отправлено Александр , 22-Мрт-09 21:04 
>
>хмм странно а никому непоказалось подозрительным что фаирвола то по сути и
>нет? автору советую прочитать http://www.opennet.me/docs/RUS/iptables/  и наконецтаки настроить фаирвол по
>человечески.Подумайте о безопасности сервера.

А кто сказал что это и всё что есть? я сказал что такие правила есть для примера, я ж не сказал что есть только такие правила, а за ссылку спасибо, почитаю.

да и безопасность особая не нужна, за этим ещё фаервол в модеме + сеть провайдера тож локальная + касперский фаервол дальше есть.

а вообще нужно просто будет иметь возможность запретить компьютеру с вести доступ к интернету по IP что собственно в сабже написанно


"Запретить доступ в интернет по IP"
Отправлено sonkilla , 22-Мрт-09 21:07 
>[оверквотинг удален]
>
>А кто сказал что это и всё что есть? я сказал что
>такие правила есть для примера, я ж не сказал что есть
>только такие правила, а за ссылку спасибо, почитаю.
>
>да и безопасность особая не нужна, за этим ещё фаервол в модеме
>+ сеть провайдера тож локальная + касперский фаервол дальше есть.
>
>а вообще нужно просто будет иметь возможность запретить компьютеру с вести доступ
>к интернету по IP что собственно в сабже написанно

ок янсно = ) новсеже ненадейтесь на касперыча злой он = ) может продать )


"Запретить доступ в интернет по IP"
Отправлено rootiks , 23-Мрт-09 13:25 
>
>хмм странно а никому непоказалось подозрительным что фаирвола то по сути и
>нет? автору советую прочитать http://www.opennet.me/docs/RUS/iptables/  и наконецтаки настроить фаирвол по
>человечески.Подумайте о безопасности сервера.

Эээ ... Как мне задали вопрос в одному форуме, а зачем?
fail2ban ставим, настраиваем и живем припеваючи ...


"Запретить доступ в интернет по IP"
Отправлено angra , 23-Мрт-09 17:40 
>Эээ ... Как мне задали вопрос в одному форуме, а зачем?

типа одно дите задало вопрос другому, чем его и озадачило


>fail2ban ставим, настраиваем и живем припеваючи ...

Настроить iptables все-таки значительно проще чем fail2ban. Хотя, если под "настройкой" вы понимаете простановку enable true, то с тем же успехом можно жить припеваючи(по принципу: "Сколько мышка живет? Пока кошка не съест") вообще ничего не ставя и не настраивая


"Запретить доступ в интернет по IP"
Отправлено whoim , 30-Ноя-09 16:41 
Вопрос в продолжении темы. Все почти как у автора, но идет редирект на сквид.
-t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 80 -j REDIRECT --to-port 3140
и -A FORWARD -s $IP -j REJECT не хочет работать - машинка по прежнему лезет в сеть
--
Как в таких условиях:
1) Запретить доступ в интернет полностью
2) Разрешить на некоторые сайты
?