Как в iptables запретить конретному ip лазить на конретный сайт

http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html

Я пробую так но не получается :|

iptables -A FORWARD -s 192.168.2.0/24 -d bizarre.kiev.ua -j REJECT

Еще у меня перед этим стоит это:

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.2.0/24 -j SNAT --to-source 195.5.52.115 iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.2.0/24 --dport 80 -j REDIRECT --to-port 3128

Сделать не
iptables -A FORWARD -s 192.168.2.0/24 -d bizarre.kiev.ua -j REJECT
а
iptables -I FORWARD -s 192.168.2.0/24 -d bizarre.kiev.ua -j REJECT

Так тебе нужно, чтобы IP или MAC не ходил ???

Если ИП - то так:
iptables -A FORWARD -p tcp -s 192.168.2.45/32 -d bizarre.kiev.ua -j REJECT
iptables -A FORWARD -p tcp -m mac --mac-source 00:50:FC:F8:A4:38 -d bizarre.kiev.ua -j REJECT

Где:
192.168.2.45 - IP-адрес хоста.
00:50:FC:F8:A4:38 - MAC-адрес хоста.

Но помни, по дефолту у FORWARD должно быть полиси REJECT

У меня еще стоит прокси и то что идет на 3128 не дропается :(

$IPTABLES -I INPUT -p tcp -s 192.168.2.0/24 --dport 3128 -j DROP будет работать

>$IPTABLES -I INPUT -p tcp -s 192.168.2.0/24 --dport 3128 -j DROP будет работать

Но тогда никто никуда несможет зайти а нужно только на конкретный сайт запретить.

Можно в squid.conf поковыряться, настроить куда и кому можно ходить.

Если FORWARD по умолчанию разрешен, то вместо
iptables -A FORWARD -p tcp -s 192.168.... -d bizarre.kiev.ua -j REJECT
iptables -A FORWARD -p tcp -m mac --mac-source 00:50:..... -d bizarre.kiev.ua -j REJECT
надо писать (я так думаю):
iptables -I FORWARD -p tcp -s 192.168.... -d bizarre.kiev.ua -j REJECT
iptables -I FORWARD -p tcp -m mac --mac-source 00:50:..... -d bizarre.kiev.ua -j REJECT

Изначально у меня такие настройки

//Даю доступ в инет
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.2.0/24 -j SNAT --to-source X.X.X.X

//http через прокси
iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.2.0/24 --dport 80 -j REDIRECT --to-port 3128

Потом я втсавил это, но оно не помогло
iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d bizarre.kiev.ua -j REJECT
iptables -I FORWARD -p tcp -m mac --mac-source 00:C0:26:79:5C:9E -d bizarre.kiev.ua -j REJECT

Я так понимаю что, ког юзерь ходит в инет через прокси, то пакеты не идут через FORWARD, а идут через INPUT на сквид и OUTPUT от сквида.

На Инпуте видно от какого IP пакеты но не видно куда, видно только что на squid.
А на OUTPUT нельзя выщимить от кокого IP идет пакет, там будет IP сквида, зато видно на какй сайт.

Вообщем ничего у меня так и не получилось :(

Ну так задать правила в конфиге сквидовом. Какие проблемы ?

Может хелпанешь как?

Легко.
Ищешь в конфиге настройку доступа, типа таких строк:
acl mynet src 192.168.2.0/24
http_access allow mynet
http_access deny all

Перед строкой allow вставляешь типа такой конструкции:

acl me src 192.168.1.25
acl you dst www.ya.ru
http_access deny me you

Перезапускаешь сквид. Готово.

спасибо работает, хотя хотелось конечно через iptables

Ну можно подумать как... Попробовать помечать пакеты от этого сайта через mangle и что-нибудь намудрить с таблицами роутинга... Но через сквид все равно проще и надежнее.