Jump to content

Отключение мира!


Recommended Posts

С помощью айпитейблс.

Делаеш новую цепочку. В нее загоняеш список UA-IX адрессов с -j ACCEPT

А последней строчкой делаеш -j DROP

И весь трафик от конкретного IP загоняеш в єту цепочку

Link to post
Share on other sites
С помощью айпитейблс.

Делаеш новую цепочку. В нее загоняеш список UA-IX адрессов с -j ACCEPT

А последней строчкой делаеш -j DROP

И весь трафик от конкретного IP загоняеш в єту цепочку

У меня прописано чтоб полностью отрезать мир, а теперь хотелось бы чтоб отдельным людям открыть а отдельным чтоб был закрыт мир!

 

Вот :

 

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

#UA-IX

$IPTABLES -X UA_IX

$IPTABLES -X UA_IX_S

 

$IPTABLES -N UA_IX

$IPTABLES -N UA_IX_S

############

grep "^" $IPFILE | while read ip;

do

if [ $ip <> NULL ]

then $IPTABLES -A UA_IX -d $ip -j RETURN

fi

done

$IPTABLES -A UA_IX -j REJECT

#############

grep "^" $IPFILE | while read ip;

do

if [ $ip <> NULL ]

then $IPTABLES -A UA_IX_S -s $ip -j RETURN

fi

done

$IPTABLES -A UA_IX_S -j REJECT

#############

$IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S

$IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX

$IPTABLES -I FORWARD 1 -s 192.168.1.0/24 -j UA_IX

 

но повторяю это отключает всем

а у меня не получаеться сделать чтоб отдельным IP включать или отключать

Link to post
Share on other sites

ALeX_mel Уже наверно с пол года назад я говорил вам лично что пока вы самостоятельно не освоите iptables - у вас буду постоянно проблемы....

 

пока вы не поймёте как оно работает, вы несможете модифицировать свои правила и понимать то что вам подскажут....

 

 

по топику: весь трафик заворачивается в цепочку UA_IX в которои если адресат совпадает с сетью ua-ix то пакет по средствам RETURN возвращается на дальнейшую обработку. Если пакет "бежал" на мир, то он достигает последней строчки и по действию DROP уничтожается.

 

Что бы некий ip выпустить нужно до DROP вернуть пакет на дальнейшую обработку.

Link to post
Share on other sites

добавьте вот эту строчку после того что вы написали:

 

iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN

 

где 192.168.0.111 - ip которому можно бегать на мир

 

 

а вот это зачем?

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

какие интерфейсы куда смотрят?

Link to post
Share on other sites
добавьте вот эту строчку после того что вы написали:

 

iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN

 

где 192.168.0.111 - ip которому можно бегать на мир

 

 

а вот это зачем?

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

какие интерфейсы куда смотрят?

eth1- Internet

eth2- Lan

 

Ту строчку которую вы мне и тогда давали:

 

iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN

 

я сделал как сказали, а результата не получил :)

Link to post
Share on other sites

попробуй убери вот это:

$IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S

$IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX

 

 

а это что:

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

проксю в инет выпускаем? торгуем?

Link to post
Share on other sites
попробуй убери вот это:

$IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S

$IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX

 

 

а это что:

$IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

 

проксю в инет выпускаем? торгуем?

Sorry Den

всё-таки ты чётко сказал этой строчкой

получилось

терь осталось чтоб сквид пускал...

 

если закоментировать в фаере

 

#redirect squid

iptables -t nat -A PREROUTING -i eth2 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT........

 

то норма, а если пускать через сквид то:

 

ERROR

The requested URL could not be retrieved

 

While trying to retrieve the URL: http://hub.ru/modules.php?

 

The following error was encountered:

Connection Failed

 

The system returned:

 

(111) Connection refused

 

The remote host or network may be down. Please try the request again.

 

Your cache administrator is root.

 

Generated Thu, 25 Aug 2005 22:05:41 GMT by proxy.lan.com.ua (squid/2.5.STABLE5)

 

а в сквиде прописаны:

 

 

squid.conf

 

 

acl shara dst "/etc/squid/acl/local.ip"

acl shara dst "/etc/squid/acl/ua-ix.ip"

:

:

http_reply_access allow all

# -----------------------------------------------------------------------------

icp_access allow all

# -----------------------------------------------------------------------------

#miss_access allow all

# -----------------------------------------------------------------------------

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

visible_hostname proxy.lan.com.ua

# -----------------------------------------------------------------------------

always_direct allow shara

# -----------------------------------------------------------------------------

never_direct deny shara

never_direct allow all

Link to post
Share on other sites

если убрать

never_direct deny shara

never_direct allow all

у всех должен заработать

 

а что бы не у всех работал нужно ман по сквиду курнуть....

 

кажись можно так:

 

acl vasay_pupkin src 192.168.0.111

acl petya src 192.168.0.112

acl slava src 192.168.0.113

#Васе можно ходить на мир, а Пете нет. Слава вообще отвисает :)

http_access allow vasya_pupkin

http_access allow shara petya

http_access deny all

Link to post
Share on other sites
если убрать

never_direct deny shara

never_direct allow all

у всех должен заработать

 

а что бы не у всех работал нужно ман по сквиду курнуть....

 

кажись можно так:

 

acl vasay_pupkin src 192.168.0.111

acl petya src 192.168.0.112

acl slava src 192.168.0.113

#Васе можно ходить на мир, а Пете нет. Слава вообще отвисает :)

http_access allow vasya_pupkin

http_access allow shara petya

http_access deny all

DEN Громадное спасибо! :loop:

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...