The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"iptables"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"iptables" 
Сообщение от VadimMA Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 06-Май-04, 12:38  (MSK)
1. iptables -P INPUT DROP
2. iptables -A INPUT -p ALL -i eth+ -j ACCEPT
3. iptables -I INPUT 1 -p TCP -s 192.168.0.0/16 --dport 3128 -j DROP #Запретить доступ к локальным прокси серверам
4. iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/16 -d ! 192.168.0.0/16 --dport www -j REDIRECT --to-ports 3128
  #Прозрачное проксирование для хостов не входящих в локальную сеть

eth+ = eth0(192.168.0.0/24);eth1(192.168.1.0/24);eth2(192.168.2.0/24)

Проблемы:
1 - в правиле 4. не срабатывает -d ! 192.168.0.0/16. Т.е. при обращении к локальному хосту срабатывает проксирование
2 - правило 3. не срабатывает

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

  • iptables, Асен Тотин, 12:57 , 06-Май-04, (1)  
    • iptables, VadimMA, 13:03 , 06-Май-04, (2)  

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "iptables" 
Сообщение от Асен Тотин emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 06-Май-04, 12:57  (MSK)
Привет,

>не срабатывает
>iptables -I INPUT 1 -p TCP -s 192.168.0.0/16 --dport 3128 -j
>DROP #Запретить доступ к локальным прокси серверам

Если эти "прокси-сервера" находятся на другой машине, вам нужно исползовать "-I FORWARD" вместо "-I INPUT" (см. man iptables)

>не срабатывает -d ! 192.168.0.0/16. Т.е. при
>обращении к локальному хосту срабатывает проксирование
>iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/16 -d !
>192.168.0.0/16 --dport www -j REDIRECT --to-ports 3128

У вас наверно не срабатывает REDIRECT - попробуйте DNAT.

WWell,


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables" 
Сообщение от VadimMA Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 06-Май-04, 13:03  (MSK)
>Привет,
>
>>не срабатывает
>>iptables -I INPUT 1 -p TCP -s 192.168.0.0/16 --dport 3128 -j
>>DROP #Запретить доступ к локальным прокси серверам
>
>Если эти "прокси-сервера" находятся на другой машине, вам нужно исползовать "-I FORWARD"
>вместо "-I INPUT" (см. man iptables)

Прокси находится на тойже машине

>
>>не срабатывает -d ! 192.168.0.0/16. Т.е. при
>>обращении к локальному хосту срабатывает проксирование
>>iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/16 -d !
>>192.168.0.0/16 --dport www -j REDIRECT --to-ports 3128
>
>У вас наверно не срабатывает REDIRECT - попробуйте DNAT.
>

Редирект сробатывает, но и для локальныйх хостов, а нужно только для интернетовских. Думал решится проблемма путем -d ! 192.168.0.0/16


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру