Перейти до

Отключение мира!


Рекомендованные сообщения

С помощью айпитейблс.

Делаеш новую цепочку. В нее загоняеш список UA-IX адрессов с -j ACCEPT

А последней строчкой делаеш -j DROP

И весь трафик от конкретного IP загоняеш в єту цепочку

Ссылка на сообщение
Поделиться на других сайтах
С помощью айпитейблс.

Делаеш новую цепочку. В нее загоняеш список UA-IX адрессов с -j ACCEPT

А последней строчкой делаеш -j DROP

И весь трафик от конкретного IP загоняеш в єту цепочку

У меня прописано чтоб полностью отрезать мир, а теперь хотелось бы чтоб отдельным людям открыть а отдельным чтоб был закрыт мир!

 

Вот :

 

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

#UA-IX

$IPTABLES -X UA_IX

$IPTABLES -X UA_IX_S

 

$IPTABLES -N UA_IX

$IPTABLES -N UA_IX_S

############

grep "^" $IPFILE | while read ip;

do

if [ $ip <> NULL ]

then $IPTABLES -A UA_IX -d $ip -j RETURN

fi

done

$IPTABLES -A UA_IX -j REJECT

#############

grep "^" $IPFILE | while read ip;

do

if [ $ip <> NULL ]

then $IPTABLES -A UA_IX_S -s $ip -j RETURN

fi

done

$IPTABLES -A UA_IX_S -j REJECT

#############

$IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S

$IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX

$IPTABLES -I FORWARD 1 -s 192.168.1.0/24 -j UA_IX

 

но повторяю это отключает всем

а у меня не получаеться сделать чтоб отдельным IP включать или отключать

Ссылка на сообщение
Поделиться на других сайтах

ALeX_mel Уже наверно с пол года назад я говорил вам лично что пока вы самостоятельно не освоите iptables - у вас буду постоянно проблемы....

 

пока вы не поймёте как оно работает, вы несможете модифицировать свои правила и понимать то что вам подскажут....

 

 

по топику: весь трафик заворачивается в цепочку UA_IX в которои если адресат совпадает с сетью ua-ix то пакет по средствам RETURN возвращается на дальнейшую обработку. Если пакет "бежал" на мир, то он достигает последней строчки и по действию DROP уничтожается.

 

Что бы некий ip выпустить нужно до DROP вернуть пакет на дальнейшую обработку.

Ссылка на сообщение
Поделиться на других сайтах

добавьте вот эту строчку после того что вы написали:

 

iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN

 

где 192.168.0.111 - ip которому можно бегать на мир

 

 

а вот это зачем?

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

какие интерфейсы куда смотрят?

Ссылка на сообщение
Поделиться на других сайтах
добавьте вот эту строчку после того что вы написали:

 

iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN

 

где 192.168.0.111 - ip которому можно бегать на мир

 

 

а вот это зачем?

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

какие интерфейсы куда смотрят?

eth1- Internet

eth2- Lan

 

Ту строчку которую вы мне и тогда давали:

 

iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN

 

я сделал как сказали, а результата не получил :)

Ссылка на сообщение
Поделиться на других сайтах

попробуй убери вот это:

$IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S

$IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX

 

 

а это что:

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

проксю в инет выпускаем? торгуем?

Ссылка на сообщение
Поделиться на других сайтах
попробуй убери вот это:

$IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S

$IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX

 

 

а это что:

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

проксю в инет выпускаем? торгуем?

Sorry Den

всё-таки ты чётко сказал этой строчкой

получилось

терь осталось чтоб сквид пускал...

 

если закоментировать в фаере

 

#redirect squid

iptables -t nat -A PREROUTING -i eth2 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT........

 

то норма, а если пускать через сквид то:

 

ERROR

The requested URL could not be retrieved

 

While trying to retrieve the URL: http://hub.ru/modules.php?

 

The following error was encountered:

Connection Failed

 

The system returned:

 

(111) Connection refused

 

The remote host or network may be down. Please try the request again.

 

Your cache administrator is root.

 

Generated Thu, 25 Aug 2005 22:05:41 GMT by proxy.lan.com.ua (squid/2.5.STABLE5)

 

а в сквиде прописаны:

 

 

squid.conf

 

 

acl shara dst "/etc/squid/acl/local.ip"

acl shara dst "/etc/squid/acl/ua-ix.ip"

:

:

http_reply_access allow all

# -----------------------------------------------------------------------------

icp_access allow all

# -----------------------------------------------------------------------------

#miss_access allow all

# -----------------------------------------------------------------------------

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

visible_hostname proxy.lan.com.ua

# -----------------------------------------------------------------------------

always_direct allow shara

# -----------------------------------------------------------------------------

never_direct deny shara

never_direct allow all

Ссылка на сообщение
Поделиться на других сайтах

если убрать

never_direct deny shara

never_direct allow all

у всех должен заработать

 

а что бы не у всех работал нужно ман по сквиду курнуть....

 

кажись можно так:

 

acl vasay_pupkin src 192.168.0.111

acl petya src 192.168.0.112

acl slava src 192.168.0.113

#Васе можно ходить на мир, а Пете нет. Слава вообще отвисает :)

http_access allow vasya_pupkin

http_access allow shara petya

http_access deny all

Ссылка на сообщение
Поделиться на других сайтах
если убрать

never_direct deny shara

never_direct allow all

у всех должен заработать

 

а что бы не у всех работал нужно ман по сквиду курнуть....

 

кажись можно так:

 

acl vasay_pupkin src 192.168.0.111

acl petya src 192.168.0.112

acl slava src 192.168.0.113

#Васе можно ходить на мир, а Пете нет. Слава вообще отвисает :)

http_access allow vasya_pupkin

http_access allow shara petya

http_access deny all

DEN Громадное спасибо! :loop:

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...