ALeX_mel 0 Posted 2005-08-24 14:00:46 Share Posted 2005-08-24 14:00:46 Люди, вы не подскажите как кто отключает мир конкретному IP. Чтоб при этом UA-IX у всех оставался! Linux Link to post Share on other sites
Keen 10 Posted 2005-08-25 06:14:58 Share Posted 2005-08-25 06:14:58 С помощью айпитейблс. Делаеш новую цепочку. В нее загоняеш список UA-IX адрессов с -j ACCEPT А последней строчкой делаеш -j DROP И весь трафик от конкретного IP загоняеш в єту цепочку Link to post Share on other sites
ALeX_mel 0 Posted 2005-08-25 07:54:23 Author Share Posted 2005-08-25 07:54:23 С помощью айпитейблс.Делаеш новую цепочку. В нее загоняеш список UA-IX адрессов с -j ACCEPT А последней строчкой делаеш -j DROP И весь трафик от конкретного IP загоняеш в єту цепочку У меня прописано чтоб полностью отрезать мир, а теперь хотелось бы чтоб отдельным людям открыть а отдельным чтоб был закрыт мир! Вот : $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT #UA-IX $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############ grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX $IPTABLES -I FORWARD 1 -s 192.168.1.0/24 -j UA_IX но повторяю это отключает всем а у меня не получаеться сделать чтоб отдельным IP включать или отключать Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-08-25 09:40:01 Share Posted 2005-08-25 09:40:01 ALeX_mel Уже наверно с пол года назад я говорил вам лично что пока вы самостоятельно не освоите iptables - у вас буду постоянно проблемы.... пока вы не поймёте как оно работает, вы несможете модифицировать свои правила и понимать то что вам подскажут.... по топику: весь трафик заворачивается в цепочку UA_IX в которои если адресат совпадает с сетью ua-ix то пакет по средствам RETURN возвращается на дальнейшую обработку. Если пакет "бежал" на мир, то он достигает последней строчки и по действию DROP уничтожается. Что бы некий ip выпустить нужно до DROP вернуть пакет на дальнейшую обработку. Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-08-25 09:43:32 Share Posted 2005-08-25 09:43:32 добавьте вот эту строчку после того что вы написали: iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN где 192.168.0.111 - ip которому можно бегать на мир а вот это зачем? $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT какие интерфейсы куда смотрят? Link to post Share on other sites
ALeX_mel 0 Posted 2005-08-25 21:23:00 Author Share Posted 2005-08-25 21:23:00 добавьте вот эту строчку после того что вы написали: iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN где 192.168.0.111 - ip которому можно бегать на мир а вот это зачем? $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT какие интерфейсы куда смотрят? eth1- Internet eth2- Lan Ту строчку которую вы мне и тогда давали: iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN я сделал как сказали, а результата не получил Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-08-25 21:48:05 Share Posted 2005-08-25 21:48:05 а куда eth0 делся? Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-08-25 21:50:03 Share Posted 2005-08-25 21:50:03 попробуй убери вот это: $IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX а это что: $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT проксю в инет выпускаем? торгуем? Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-08-25 21:50:54 Share Posted 2005-08-25 21:50:54 убейте пост этот.... Link to post Share on other sites
ALeX_mel 0 Posted 2005-08-25 22:07:32 Author Share Posted 2005-08-25 22:07:32 попробуй убери вот это:$IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX а это что: $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT проксю в инет выпускаем? торгуем? Sorry Den всё-таки ты чётко сказал этой строчкой получилось терь осталось чтоб сквид пускал... если закоментировать в фаере #redirect squid iptables -t nat -A PREROUTING -i eth2 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT........ то норма, а если пускать через сквид то: ERROR The requested URL could not be retrieved While trying to retrieve the URL: http://hub.ru/modules.php? The following error was encountered: Connection Failed The system returned: (111) Connection refused The remote host or network may be down. Please try the request again. Your cache administrator is root. Generated Thu, 25 Aug 2005 22:05:41 GMT by proxy.lan.com.ua (squid/2.5.STABLE5) а в сквиде прописаны: squid.conf acl shara dst "/etc/squid/acl/local.ip" acl shara dst "/etc/squid/acl/ua-ix.ip" : : http_reply_access allow all # ----------------------------------------------------------------------------- icp_access allow all # ----------------------------------------------------------------------------- #miss_access allow all # ----------------------------------------------------------------------------- httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on visible_hostname proxy.lan.com.ua # ----------------------------------------------------------------------------- always_direct allow shara # ----------------------------------------------------------------------------- never_direct deny shara never_direct allow all Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-08-25 22:43:33 Share Posted 2005-08-25 22:43:33 если убрать never_direct deny shara never_direct allow all у всех должен заработать а что бы не у всех работал нужно ман по сквиду курнуть.... кажись можно так: acl vasay_pupkin src 192.168.0.111 acl petya src 192.168.0.112 acl slava src 192.168.0.113 #Васе можно ходить на мир, а Пете нет. Слава вообще отвисает http_access allow vasya_pupkin http_access allow shara petya http_access deny all Link to post Share on other sites
ALeX_mel 0 Posted 2005-08-26 06:17:03 Author Share Posted 2005-08-26 06:17:03 если убратьnever_direct deny shara never_direct allow all у всех должен заработать а что бы не у всех работал нужно ман по сквиду курнуть.... кажись можно так: acl vasay_pupkin src 192.168.0.111 acl petya src 192.168.0.112 acl slava src 192.168.0.113 #Васе можно ходить на мир, а Пете нет. Слава вообще отвисает http_access allow vasya_pupkin http_access allow shara petya http_access deny all DEN Громадное спасибо! :loop: Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-08-26 06:27:07 Share Posted 2005-08-26 06:27:07 DEN Громадное спасибо! :loop: ненада Вы адрес знаете куда деньги нести -) Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now