LINUX.ORG.RU
решено ФорумAdmin

Разрешить/Запретить в iptables


0

1

Прошелся по форуму, не увидел решения такой задачи. Если локалка и брендмауэр eth0 смотрит в инет eth1 смотрить в локалку. Неодходимо всем, кроме конкретной машины, с конкретным IP из локалки запретить скажем доступ к сайту vkontakte.ru Как правильнее всего прописать правила?


Сначала разрешить... потом запретить 

iptables -A FORWARD -s 10.0.0.200 -d vkontakte.ru -j ACCEPT
iptables -A FORWARD -d vkontakte.ru -j REJECT

Tok ★★
()

общий подход : 

ipset create ipban
foreach host in `host -t A vkontakte.ru | sed -r 's/^(.*)has address (.*)$/g`; do
 ipset add ipban $host
done

VKONTAKTE_LOVER=192.168.1.11

iptables -t FILTER -A FORWARD -i eth1 -m set --set ipban dst -s $VKONTAKTE_LOVER -j ACCEPT
iptables -t FILTER -A FORWARD -i eth1 -m set --set ipban dst -j DENY
код не проверялся и возможно содержит ашипки :)

MKuznetsov ★★★★★
()
Ответ на: Спасибо от scard

В продолжении запретов

Не могли бы навести на мысль относительно практически такой - же задачи, но тут только 1 особый может торренты качать, все остальные нет.

scard
() автор топика
Ответ на: комментарий от Tok

Нафига ipset с одним правилом ?

во первых правил там два :)

и используя ipset группа (в данном случае ipban) может использоваться в других правилах и легко реализуется добавление/удаление адресов в/из неё. Правил становится меньше, фаервол становится логичнее и легче управляется.

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

Имеет смысл иногда =)

Тут сказать нечего ))

scard
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin