LINUX.ORG.RU
ФорумAdmin

запрет выхода в инет без прокси IPTABLES


0

0

Раньше было так: ipchains -A input -i eth0 -p tcp -s 192.168.1.0/24 www -d 0/0 !5128 -j DENY #5128 - порт моего сквида Таким образом, кто идет на http не через сквид:5128 того не пускало. А как такое сделать на iptables? $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.160.0/24 -p tcp -d 0/0 --dport ! 5128 -j DROP так работает, но при этом перестает ходить все остальное кроме http (почта, аська и т.д.) Как правильно сказать правило?


Попробуй сделай так ...я с ними особо не работал , но вроде должно получится ...

iptables -t nat -A FORWARD -s 192.168.160.0/24 -p tcp -d 0/0 --dport !5128 -j DROP

Green
()

или ... не , не так ... может iptables -A INPUT -p tcp -s 192.168.160.0/24 --sport www -d 0/0 --dport !5128 -j DROP

Green
()

ipchains -A input -i eth0 -p tcp -s 192.168.1.0/24 www -d 0/0 !5128 -j DENY
давно усеры стали по вв с 80 порта лазать?

iptables -A FORWARD -p tcp --dport 80 -j DROP # хотя лучше REJECT
только вот это обходится, когда удаленные ввв висят не на 80 порту

glush
()

а идеальным вариантом было-бы сделать
iptables -P FORWARD DROP
iptables -A FORWARD -s $local_net --dport $allowed_service -j ACCEPT
итд

glush
()

2glush: >ipchains -A input -i eth0 -p tcp -s 192.168.1.0/24 www -d 0/0 !5128 ->j DENY >давно усеры стали по вв с 80 порта лазать? дело в том, что это ДЕЙСТВИТЕЛЬНО РАБОТАЕТ как требуеться, а я сам не очень понимаю почему. Ведь www это порт источника, а у браузера порты другие, но это работало как нужно. Не одна машина не могла вылезти експлорером в инет, а почта, icq и т.д. работало!!!

Я сделал так $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp -d 0/0 --dport 3128 -j LOG --log-prefix "Someone is trying to cheat my squid :)" $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp -d 0/0 --dport 3128 -j DROP #3128 прокси провайдера Все вроде работает

gerbyk
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin