URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 88542
[ Назад ]
Исходное сообщение
"медленно работает фильтрация через iptables"
Отправлено zabit , 29-Мрт-10 11:16 
всем привет.
имею офисную сеть.
необходимо открыть доступ только к определенным сайта.
пример
iptables -t nat -A POSTROUTING -s 192.168.0.2 -d 3dnews.ru -j MASQUERADE
работает, но открывается очень долго.
если указать правило без -d то открывается моментально но трафик не фильтруется.
как можно это решить в чем может быть проблема ??
Содержание
Сообщения в этом обсуждении
"медленно работает фильтрация через iptables"
Отправлено Tuz , 29-Мрт-10 11:59 
DNS попробуйте вместо имени айпи адрес и порт

"медленно работает фильтрация через iptables"
Отправлено zabit , 29-Мрт-10 12:44 
>DNS попробуйте вместо имени айпи адрес и порт

дело в том что dns имя преобразуется в ip автоматически.. хоть я и пишу -d 3dnews.ru получается -d 92.241.170.196
интернет все равно медленный

"медленно работает фильтрация через iptables"
Отправлено reader , 29-Мрт-10 13:03 
>>DNS попробуйте вместо имени айпи адрес и порт
>
>дело в том что dns имя преобразуется в ip автоматически.. хоть я
>и пишу -d 3dnews.ru получается -d 92.241.170.196
>никак не получается

если фильтровать по сайтам, то лучше для этих целей использовать прокси.

если фильтровать по ip , то это лучше делать в таблице фильтров.
а в вашем случае получается что вы делаете nat для того что идет на 92.241.170.196, а все остальное отправляется без nat, то есть ip источника не белый ваш ip, а серый.

"медленно работает фильтрация через iptables"
Отправлено zabit , 29-Мрт-10 18:50 
>[оверквотинг удален]
>>и пишу -d 3dnews.ru получается -d 92.241.170.196
>>никак не получается
>
>если фильтровать по сайтам, то лучше для этих целей использовать прокси.
>
>если фильтровать по ip , то это лучше делать в таблице фильтров.
>
>а в вашем случае получается что вы делаете nat для того что
>идет на 92.241.170.196, а все остальное отправляется без nat, то есть
>ip источника не белый ваш ip, а серый.

мне казалось что если открыть nat только на один сайт то этого должно хватить .. разве не так ??

"медленно работает фильтрация через iptables"
Отправлено reader , 29-Мрт-10 23:38 
>[оверквотинг удален]
>>если фильтровать по сайтам, то лучше для этих целей использовать прокси.
>>
>>если фильтровать по ip , то это лучше делать в таблице фильтров.
>>
>>а в вашем случае получается что вы делаете nat для того что
>>идет на 92.241.170.196, а все остальное отправляется без nat, то есть
>>ip источника не белый ваш ip, а серый.
>
>мне казалось что если открыть nat только на один сайт то этого
>должно хватить .. разве не так ??

этим правилом вы не открыли , а указали каким пакетам делать nat, остальные пакеты пойдут без nat, а вот где они умрут или потеряются это уже другой вопрос

"медленно работает фильтрация через iptables"
Отправлено ALex_hha , 31-Мрт-10 16:48 
А какой ДНС у клиента?
"медленно работает фильтрация через iptables"
Отправлено zabit , 03-Апр-10 10:33 
>А какой ДНС у клиента?

днс локальный 192.168.0.1 он же шлюз

кто нить подскажите как открыть определенный сайт с помощью сквид??

"медленно работает фильтрация через iptables"
Отправлено reader , 03-Апр-10 12:21 
>>А какой ДНС у клиента?
>
>днс локальный 192.168.0.1 он же шлюз
>
>кто нить подскажите как открыть определенный сайт с помощью сквид??

создаете ACL - для кого разрешить
создаете ACL - куда разрешить
создаете разрешающее правило с указанием обоих ACL
создаете запрещающее правило для всех

"медленно работает фильтрация через iptables"
Отправлено zerot , 05-Апр-10 15:57 
проверить также, что -t nat -A FORWARD -s 192.168.0.2/32 -j ACCEPT, ACCEPT на всю цепочку - идея не очень хорошая
Таки попробовать указать IP получателя ЯВНО
Удачи