Настройка iptables

Есть данный набор правил, где здесь надо что изменить и добавить, чтобы: 1. Запретить пользоваться VK.COM и т.д.... Я пробовал вот так, но не прокатило, сайты открывались.

iptables -A FORWARD -m string --string "vk.com" --algo kmp --to 65535 -j DROP

2. Открыть пользователям только интернет, почту, а закрыть аськи, скайпы.

# Интерфейс который смотрит в интернет
WAN=ppp0
INET=eth0

# Локальная сеть
LAN=eth1
LAN_IP_RANGE=192.168.25.0/24

# Очистка всех цепочек iptables
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Закрываем изначально ВСЁ (т.е. изначально все что не разрешено - запрещено):
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# разрешаем локальный траффик для loopback и внутренней сети
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $LAN -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o $LAN -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
iptables -A INPUT -p all -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
iptables -A OUTPUT -p all -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для новых, а так же уже инициированных 
# и их дочерних соединений
iptables -A FORWARD -p all -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы 
# и поэтому не могут иметь определенного статуса.
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным.
iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -A OUTPUT -p tcp ! --syn -m conntrack --ctstate NEW -j DROP


# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i $WAN -o $LAN -j REJECT


# Маскарадинг
iptables -t nat -A POSTROUTING -o $WAN -s $LAN_IP_RANGE -j MASQUERADE

# Don't forward from the outside to the inside.
iptables -A FORWARD -i $WAN -o $WAN -j REJECT
iptables -A FORWARD -i $INET -o $WAN -j REJECT

iptables

marirveze
(06.02.15 10:10:12 MSK)

9 комментариев

Bad argument ppp0

Помогите решить проблему. Выходит Bad argument `ppp0'. Вот мой код iptables:

# eth0 - inet

# eth1 - local

# Удаляются старые настройки

iptables -F

iptables -t nat -F

iptables -t mangle -F

iptables -X

# Всегда принимать замыкания трафика

iptables -A INPUT -i lo -j ACCEPT

# Allow established connections, and those not coming from the outside

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the LAN side.

iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT

# Masquerade.

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Don't forward from the outside to the inside.

iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT

iptables -A FORWARD -i eth0 -o ppp0 -j REJECT

# открыть порт 22 для доступа из интернета

iptables -A INPUT -i ppp0 -p tcp --dport 22 --syn -m conntrack --ctstate NEW -j ACCEPT

iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 23 -j DNAT --to 192.168.2.25:22

iptables -I FORWARD -p tcp -i ppp0 --dport 22 -j ACCEPT

iptables, ppp0

marirveze
(03.02.15 15:13:27 MSK)

9 комментариев

Сообщения marirveze

Настройка iptables

Bad argument ppp0