Почемуто не получается с ipchains

Попробую разобрать твои правила ,если учитывать что 10.10.9.3 это IP ашины которой ты и намерен заблокировать WWW : -A input -p TCP -d 10.10.9.3 www -j DENY входящие соединия по TCP к адресу 10.10.9.3 по WWW запретить Если у тебя маскарадинг ,то это и не будет работать ,так как WWW сервак шлёт пакет не для 10.10.9.3 ,а для IP адреса внешней карты твоего шлюза. Тебе надо тогда уж писать так : -A output -p TCP -d 10.10.9.3 www -j DENY то есть пакет от сервака пришёл на шлюз ,но дальше он уже не сможет пойти ,так как адресок он уже поменял и теперь собираеться идти на 10.10.9.3 ,но шлюз его не выпустит. А что касаеться остальных правил : -A input -p TCP -d ! 10.10.9.3 www -j DENY Входящие соединения по TCP к ????? (видимо всем) кроме 10.10.9.3 по 80 порту запретить. -A input -p TCP -d 10.10.9.3 ! www -j DENY Входящие соединения по TCP к 10.10.9.3 кроме www запретить.

Написал команду -A output -p TCP -d 10.10.9.3 www -j DENY

результат тот же www работает

заместо www попробуй просто 80 порт -A output -p TCP -d 10.10.9.3 80 -j DENY А вообще пиши на al_mix@mail.ru Если не заработает ,то обрисуй конфигурацию сети ,какие Ip у машины которую ты хочешь заблокировать и какие у сервака ,маскарадинг у тебя ,или что там ?

Не и так не выходит!

-A output -tcp -s 0/0 80 -d 10.10.9.3 -j DENY

Так сработало!

Мое мнение относительно данного вопроса:
Скорее всего все не работает как хочется из-за неуказания
сетевой маски т.е. надо писать не
ipchains -A input -p TCP -d 10.10.9.3 www -j DENY , а
ipchains -A input -p TCP -d 10.10.9.3/24 www -j DENY для
случая сети класса С.

Как уже выше сказанно - сработало ... А как ты сказал ,кстати не сработает ... :+)) Просто потому ,что надо закрывать доступ на 80 порт не для машины ,а для серваков ,а машина при инициализации соединения совершенно не обязательно откроет 80 порт ,что и происходило ...