- Блокировка сайта, Puk, 13:27 , 24-Июн-11 (1)
>[оверквотинг удален] > нужно заблокировать парочку сайтов. > Gateway CentOS с выходом в интернет через VPN-роутер. > Юзеры с локалки подключаються через VPN. > Я пробовал так : > iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport > 80 -j DROP > В итоге я с гейтвея зайти на сайт не могу , а > юзеры могут. > Что не так то? > Заранее спасибо В iptables я не силён... А при подключении к впн, юзеры 192.168.71. ипы получают или другие? Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
- Блокировка сайта, pupkin petya, 13:41 , 24-Июн-11 (2)
> В iptables я не силён... > А при подключении к впн, юзеры 192.168.71. ипы получают или другие? > Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать? Да , получают с этой сети. Спасибо , попробую.
- Блокировка сайта, pupkin petya, 14:11 , 24-Июн-11 (3)
>> В iptables я не силён... >> А при подключении к впн, юзеры 192.168.71. ипы получают или другие? >> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать? > Да , получают с этой сети. > Спасибо , попробую.Не помогает. Пробовал iptables -I OUTPUT -d *site-ip* -j DROP Всё так-же гейтвей не заходит , а клиенты да. Может как то по другому запретить доступ?
- Блокировка сайта, skeletor, 14:15 , 24-Июн-11 (4)
Попробуй так. iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP Кстати, дай вывод сюда iptables -L
- Блокировка сайта, pupkin petya, 14:19 , 24-Июн-11 (5)
> Попробуй так. > iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j > DROP > Кстати, дай вывод сюда > iptables -L Всё так же *sad* Вывод iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp -- 192.168.71.0/24 rbfe-zibb1.bos3.fastsearch.net tcp dpt:http Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- anywhere rbfe-zibb1.bos3.fastsearch.net DROP all -- anywhere 66.231.181.201 [root@asu SOFT]#
- Блокировка сайта, Дядя_Федор, 14:42 , 24-Июн-11 (6)
Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже третья подсказка.
- Блокировка сайта, pupkin petya, 14:53 , 24-Июн-11 (7)
> Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? > И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. > Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте > изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже > третья подсказка.Спасибо за ответ , но можно по подробней. Вот новое правило и новый фейл [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. [root@asu SOFT]#
- Блокировка сайта, pupkin petya, 14:59 , 24-Июн-11 (8)
И почему тогда не сработало правило на весь исходящий трафик? iptables -I OUTPUT -d *site_ip* -j DROP
- Блокировка сайта, Дядя_Федор, 15:39 , 24-Июн-11 (11)
> И почему тогда не сработало правило на весь исходящий трафик? > iptables -I OUTPUT -d *site_ip* -j DROP Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.
- Блокировка сайта, Andrey Mitrofanov, 15:00 , 24-Июн-11 (9)
*>> а nat! >-t NAT > can't initialize iptables table `NAT': Table does not exist - Блокировка сайта, Дядя_Федор, 15:37 , 24-Июн-11 (10)
> [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j > DROP > iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do > you need to insmod?) > Perhaps iptables or your kernel needs to be upgraded. > [root@asu SOFT]# Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)
- Блокировка сайта, pupkin petya, 16:03 , 24-Июн-11 (12)
[root@asu SOFT]# iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 DNAT udp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xa MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xc Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@asu SOFT]# А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?
- Блокировка сайта, Andrey Mitrofanov, 16:13 , 24-Июн-11 (13)
> DNAT > to:172.16.0.238:3128 +<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид.
- Блокировка сайта, Дядя_Федор, 17:27 , 24-Июн-11 (14)
> +<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид. Да ужжж. :) Опять же - еще одна сетка вдруг вылезла.
- Блокировка сайта, Дядя_Федор, 17:30 , 24-Июн-11 (15)
> DNAT tcp -- 172.16.0.0/24 > !172.16.0.238 > multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 > DNAT udp -- 172.16.0.0/24 > !172.16.0.238 > multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.
|