Здравствуйте!
Есть сеть 192.168.0.0/24 и сервер на линукс.
добавляю такие правила:iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPTiptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -d 0.0.0.0/0 -o dsl0
компьютеры в сети могут выходить в интернет через сервер в качестве шлюза
а как можно навремя запретить а потом разрешить например IP 192.168.0.3 доступ в интернет?
>[оверквотинг удален]
>iptables -P FORWARD ACCEPT
>
>iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -d 0.0.0.0/0 -o
>dsl0
>
>компьютеры в сети могут выходить в интернет через сервер в качестве шлюза
>
>
>а как можно навремя запретить а потом разрешить например IP 192.168.0.3 доступ
>в интернет?iptables -A FORWARD -s 192.168.0.3 -j DROP
Это для запрещения, а для разрешения опять:
iptables -D FORWARD -s 192.168.0.3 -j DROP
>Это для запрещения, а для разрешения опять:
>iptables -D FORWARD -s 192.168.0.3 -j DROP
>Это для запрещения, а для разрешения опять:
>iptables -D FORWARD -s 192.168.0.3 -j DROPiptables -F
iptables -xВ самый вверх скрипта поставь ... потом удали это строку где разрешаешь и перегрузи ...
>>Это для запрещения, а для разрешения опять:
>>iptables -D FORWARD -s 192.168.0.3 -j DROP
>>Это для запрещения, а для разрешения опять:
>>iptables -D FORWARD -s 192.168.0.3 -j DROP
>
>iptables -F
>iptables -x
>
>В самый вверх скрипта поставь ... потом удали это строку где разрешаешь
>и перегрузи ...Спасибо! Всё получилось))
хмм странно а никому непоказалось подозрительным что фаирвола то по сути и нет? автору советую прочитать http://www.opennet.me/docs/RUS/iptables/ и наконецтаки настроить фаирвол по человечески.Подумайте о безопасности сервера.
>
>хмм странно а никому непоказалось подозрительным что фаирвола то по сути и
>нет? автору советую прочитать http://www.opennet.me/docs/RUS/iptables/ и наконецтаки настроить фаирвол по
>человечески.Подумайте о безопасности сервера.А кто сказал что это и всё что есть? я сказал что такие правила есть для примера, я ж не сказал что есть только такие правила, а за ссылку спасибо, почитаю.
да и безопасность особая не нужна, за этим ещё фаервол в модеме + сеть провайдера тож локальная + касперский фаервол дальше есть.
а вообще нужно просто будет иметь возможность запретить компьютеру с вести доступ к интернету по IP что собственно в сабже написанно
>[оверквотинг удален]
>
>А кто сказал что это и всё что есть? я сказал что
>такие правила есть для примера, я ж не сказал что есть
>только такие правила, а за ссылку спасибо, почитаю.
>
>да и безопасность особая не нужна, за этим ещё фаервол в модеме
>+ сеть провайдера тож локальная + касперский фаервол дальше есть.
>
>а вообще нужно просто будет иметь возможность запретить компьютеру с вести доступ
>к интернету по IP что собственно в сабже написанноок янсно = ) новсеже ненадейтесь на касперыча злой он = ) может продать )
>
>хмм странно а никому непоказалось подозрительным что фаирвола то по сути и
>нет? автору советую прочитать http://www.opennet.me/docs/RUS/iptables/ и наконецтаки настроить фаирвол по
>человечески.Подумайте о безопасности сервера.Эээ ... Как мне задали вопрос в одному форуме, а зачем?
fail2ban ставим, настраиваем и живем припеваючи ...
>Эээ ... Как мне задали вопрос в одному форуме, а зачем?типа одно дите задало вопрос другому, чем его и озадачило
>fail2ban ставим, настраиваем и живем припеваючи ...Настроить iptables все-таки значительно проще чем fail2ban. Хотя, если под "настройкой" вы понимаете простановку enable true, то с тем же успехом можно жить припеваючи(по принципу: "Сколько мышка живет? Пока кошка не съест") вообще ничего не ставя и не настраивая
Вопрос в продолжении темы. Все почти как у автора, но идет редирект на сквид.
-t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 80 -j REDIRECT --to-port 3140
и -A FORWARD -s $IP -j REJECT не хочет работать - машинка по прежнему лезет в сеть
--
Как в таких условиях:
1) Запретить доступ в интернет полностью
2) Разрешить на некоторые сайты
?