https://www.opennet.me/openforum/vsluhforumID1/88183.html Здравствуйте, у меня в конторе люди ходят в интернет через squid. Но мне хочеться чтобы некоторые компьютеры не смогли войти в мейлру агент. Каким способом можно запретить вход в мейлру-агент с помощью iptabels?<br><br>Мне не помогло iptables -A OUTPUT -s 192.168.0.14/255.255.255.0 -d 194.186.55.0/255.255.255.0 -p tcp -j DROP<br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#10 Thu, 18 Feb 2010 07:31:24 GMT &gt;<br>&gt;&gt;Ты тут издеваешься? Надо по человечески общ. (( <br>&gt;<br>&gt;Неумерное использование сокращений это и есть главный и определяющий признак человеческого общения <br>&gt;между человеками ;)? <br><br>Главный и определяющий признак ЭТО УВАЖЕНИЕ.<br><br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#9 Thu, 18 Feb 2010 07:28:30 GMT &gt;Ты тут издеваешься? Надо по человечески общ. (( <br><br>Неумерное использование сокращений это и есть главный и определяющий признак человеческого общения между человеками ;)?<br><br>З.Ы. Не издеваюсь, и предлагаю еще раз перечитать посты ответивших Вам...<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#8 Thu, 18 Feb 2010 07:09:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Если составить без указания источника, насколько я понимаю все компьютеры не могут <br>&gt;&gt;войти в агент. Но мне надо запретить только 192.168.0.14 <br>&gt;<br>&gt;Не, ну ты прикинь -- и порядок правил влюёт, и цыпочки у <br>&gt;"них тама" разные какие-то, а ещё, ужосс!!, зачем-то всякие "таблицы"... Я <br>&gt;фшокке, да-а-а!? :/ <br>&gt;<br>&gt;(1) И да, "ходють через сквид" -- ооооочень ослож^Wпортит всю картину: они, <br>&gt;сволочи, в iptables-ах "шифруются" совсем пааад другимя адресааамя, прикинь, да-а-а, падругаа!? <br>&gt;<br><br>Ты тут издеваешься? Надо по человечески общ. ((<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#7 Wed, 17 Feb 2010 15:59:35 GMT &gt;у меня в конторе люди ходят в интернет через squid.<br><br>(1)<br><br>&gt;&gt;Если ходят через squid, то причем здесь -s 192.168.0.14/255.255.255.0? <br>&gt;Потому что мне надо запретить только один IP Address 192.168.0.14 <br><br>Во-первых, кто-то здесь не знает, что такое маска и "какая она вообще бывает" у хоста в частности. Во-вторых, кто-то при этом "лезет" рулить iptables-ами~~~<br><br>&gt;Если составить без указания источника, насколько я понимаю все компьютеры не могут <br>&gt;войти в агент. Но мне надо запретить только 192.168.0.14 <br><br>Не, ну ты прикинь -- и порядок правил влюёт, и цыпочки у "них тама" разные какие-то, а ещё, ужосс!!, зачем-то всякие "таблицы"... Я фшокке, да-а-а!? :/<br><br>(1) И да, "ходють через сквид" -- ооооочень ослож^Wпортит всю картину: они, сволочи, в iptables-ах "шифруются" совсем пааад другимя адресааамя, прикинь, да-а-а, падругаа!?<br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#6 Wed, 17 Feb 2010 14:54:03 GMT &gt;&gt;после прокси в заголовке пакета будет адрес прокси , а не клиента, <br>&gt;&gt;но это если действительно через прокси всё идет. <br>&gt;<br>&gt;как можно сконфигурировать squid'a чтобы один ip address не попал в агент? <br>&gt;<br><br>acl bad_user src 192.168.0.14<br>acl mail_ru dst 194.186.55.0/255.255.255.0<br>http_access deny bad_user AND mail_ru<br>типа того<br><br>а вообще-то решать проблемы организационные с помощью технических средств плохо.<br>если использование MairuAgent-а в компании запрещено, а челу на это наплевать, то ему надо либо разрешить использовать его, либо попросить написать заявление, в зависимости от полезности чела для компании. и этот вопрос не в компетенции админа.<br><br>то что вы пытаетесь сделать - это мозгоклюйство.<br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#5 Wed, 17 Feb 2010 14:52:51 GMT &gt;&gt;Если ходят через squid, то причем здесь -s 192.168.0.14/255.255.255.0? <br>&gt;&gt;Потому что мне надо запретить только один IP Address 192.168.0.14 <br>&gt;&gt;Блокируй без указания источника, просто адрес назначения и всё. <br>&gt;Если составить без указания источника, насколько я понимаю все компьютеры не могут <br>&gt;войти в агент. Но мне надо запретить только 192.168.0.14 <br><br>Через iptables таким образом ты не запретишь доступ, поскольку ходят всё равно все через прокси-сервер, соответственно, соединение с сервером mail-agent будет не от имени 192.168.0.14, а от имени твоего интернет-сервера. Запрещать нужно на прокси-сервере.<br><br>Кстати, чтоб указать адрес источник маску сети не обязательно указывать. Достаточно будет лишь написать -s 192.168.0.14<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#4 Wed, 17 Feb 2010 13:52:37 GMT &gt;после прокси в заголовке пакета будет адрес прокси , а не клиента, <br>&gt;но это если действительно через прокси всё идет. <br><br>как можно сконфигурировать squid'a чтобы один ip address не попал в агент?<br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#3 Wed, 17 Feb 2010 11:17:44 GMT &gt;&gt;Если ходят через squid, то причем здесь -s 192.168.0.14/255.255.255.0? <br>&gt;<br>&gt;Потому что мне надо запретить только один IP Address 192.168.0.14 <br>&gt;<br>&gt;&gt;Блокируй без указания источника, просто адрес назначения и всё. <br>&gt;<br>&gt;Если составить без указания источника, насколько я понимаю все компьютеры не могут <br>&gt;войти в агент. Но мне надо запретить только 192.168.0.14 <br><br>192.168.0.14/255.255.255.0 - это не один адрес, а вся подсеть<br><br>после прокси в заголовке пакета будет адрес прокси , а не клиента, но это если действительно через прокси всё идет.<br> https://www.opennet.me/openforum/vsluhforumID1/88183.html#2 Wed, 17 Feb 2010 10:44:20 GMT &gt;Если ходят через squid, то причем здесь -s 192.168.0.14/255.255.255.0? <br><br>Потому что мне надо запретить только один IP Address 192.168.0.14<br><br>&gt;Блокируй без указания источника, просто адрес назначения и всё. <br><br>Если составить без указания источника, насколько я понимаю все компьютеры не могут войти в агент. Но мне надо запретить только 192.168.0.14<br><br>