URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4878
[ Назад ]

Исходное сообщение
"Блокировка сайта"

Отправлено pupkin petya , 24-Июн-11 13:19 
Здрастувте,
нужно заблокировать парочку сайтов.
Gateway CentOS с выходом в интернет через VPN-роутер.
Юзеры с локалки подключаються через VPN.
Я пробовал так :

iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP    
В итоге я с гейтвея зайти на сайт не могу , а юзеры могут.
Что не так то?
Заранее спасибо


Содержание

Сообщения в этом обсуждении
"Блокировка сайта"
Отправлено Puk , 24-Июн-11 13:27 
>[оверквотинг удален]
> нужно заблокировать парочку сайтов.
> Gateway CentOS с выходом в интернет через VPN-роутер.
> Юзеры с локалки подключаються через VPN.
> Я пробовал так :
> iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport
> 80 -j DROP
> В итоге я с гейтвея зайти на сайт не могу , а
> юзеры могут.
> Что не так то?
> Заранее спасибо

В iptables я не силён...
А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?


"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 13:41 
> В iptables я не силён...
> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?

Да , получают с этой сети.
Спасибо , попробую.



"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:11 
>> В iptables я не силён...
>> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
>> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
> Да , получают с этой сети.
> Спасибо , попробую.

Не помогает.
Пробовал
iptables -I OUTPUT -d *site-ip* -j DROP

Всё так-же гейтвей не заходит , а клиенты да.

Может как то по другому запретить доступ?


"Блокировка сайта"
Отправлено skeletor , 24-Июн-11 14:15 
Попробуй так.
iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP
Кстати, дай вывод сюда
iptables -L

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:19 
> Попробуй так.
> iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j
> DROP
> Кстати, дай вывод сюда
> iptables -L

Всё так же *sad*

Вывод
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  192.168.71.0/24      rbfe-zibb1.bos3.fastsearch.net tcp dpt:http

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             rbfe-zibb1.bos3.fastsearch.net
DROP       all  --  anywhere             66.231.181.201
[root@asu SOFT]#                        


"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 14:42 
Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже третья подсказка.

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:53 
> Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят?
> И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка.
> Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте
> изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже
> третья подсказка.

Спасибо за ответ , но можно по подробней.

Вот новое правило и новый фейл


[root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP
iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[root@asu SOFT]#


"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:59 
И почему тогда не сработало правило на весь исходящий трафик?
iptables -I OUTPUT -d *site_ip* -j DROP


"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 15:39 
> И почему тогда не сработало правило на весь исходящий трафик?
> iptables -I OUTPUT -d *site_ip* -j DROP

Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.



"Блокировка сайта"
Отправлено Andrey Mitrofanov , 24-Июн-11 15:00 
*>> а nat!
>-t NAT
> can't initialize iptables table `NAT': Table does not exist

"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 15:37 
> [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j
> DROP
> iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do
> you need to insmod?)
> Perhaps iptables or your kernel needs to be upgraded.
> [root@asu SOFT]#

Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)



"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 16:03 
[root@asu SOFT]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
DNAT       udp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xa
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xc

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@asu SOFT]#
А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?



"Блокировка сайта"
Отправлено Andrey Mitrofanov , 24-Июн-11 16:13 
> DNAT
> to:172.16.0.238:3128

+<:)))))))  Тема обещает быть "Популярной" -- после следующего раунда, про сквид.


"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 17:27 
> +<:)))))))  Тема обещает быть "Популярной" -- после следующего раунда, про сквид.

Да ужжж. :) Опять же - еще одна сетка вдруг вылезла.



"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 17:30 
> DNAT       tcp  --  172.16.0.0/24
>       !172.16.0.238    
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
> DNAT       udp  --  172.16.0.0/24
>       !172.16.0.238    
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128

Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.