Перейти до

iptables и подсеть "без денег"

REV

Автор: REV,
в Для тих, хто в пелюшках ще

 Share Подписчики 1

Рекомендованные сообщения

REV

REV 0

Опубликовано:
Опубликовано:

Доброго времени суток!) Дабы ограничить пользователей, решил их скидывать в одну подсеть где нет интернета.

Скидывать всех в одну подсеть, и показывать им страницу "дай денег", это получилось сделать.
Но не понятно как так сделать в iptables, чтобы была возможность с этой странички ходить по ссылкам https в сторону 443 порта?
Думал, добавить filter до prerouting:

192.168.16.0/24 - подсеть без денег
2**.*1*.*5.*7 - адрес куда хотелось бы ходить
*1.*30.2*0.3* - внешний адрес шлюза
 

iptables -t filter -A INPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT
 но не выходит.
Вся секция хождения "в никуда" имеет след. вид:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.16.0/24 -j SNAT --to-source *1.*30.2*0.3*
iptables -t filter -A INPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8000
iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 443 -j REDIRECT --to-port 8000
iptables -A FORWARD -s 192.168.16.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.16.0/24 -j ACCEPT

Может, кто-то делал подобное...или, кто-то может подсказать...
Ссылка на сообщение
Поделиться на других сайтах
l1ght

l1ght 377

Опубліковано:
Опубліковано:

Залиште дурну ідею редіректити хттпс. Ця витівка приречена - тому що це хттпс!

Просто робіть редірект по 80 порту і не займайтесь хвігньой.

Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 605

Опубліковано:
Опубліковано:

Таблицы iptables приходятся последовательно и независимо. Значит, раз редирект делаете в прероутинге, там же и разрешение делайте.

iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp --dport 443 -j ACCEPT

Перед правилами редиректа.

Ссылка на сообщение
Поделиться на других сайтах
Гайджин

Гайджин 574

Опубліковано:
Опубліковано:

Фильтрацию? В nat-е? - Занятнос...

Похоже что у ТСа логика ipchains, а не iptables в голове. - Правила туда и обратно на хрена то...

Ссылка на сообщение
Поделиться на других сайтах
fet4

fet4 46

Опубліковано:
Опубліковано: (відредаговано)
# Редирект должников

iptables -t nat -N redirect

iptables -t nat -A redirect -p tcp -m multiport --dport 80,443 -j DNAT --to-destination *1.*30.2*0.3*:8080

iptables -t nat -A PREROUTING -s 192.168.16.0/24 -j redirect

 

#Разрешаем форвардинг для "без денег"


iptables  -A FORWARD -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -j ACCEPT

 

#Разрешаем до шлюза


iptables  -A INPUT  -s 192.168.16.0/24 -j ACCEPT

 

#От сервера по-умолчанию поставь Accept


iptables  -P OUTPUT ACCEPT

 

#До шлюза и проходящие


iptables  -P INPUT DROP

iptables   -P FORWARD DROP




 

Відредаговано fet4
Ссылка на сообщение
Поделиться на других сайтах
foreverok

foreverok 95

Опубліковано:
Опубліковано: (відредаговано)

А почему бы не сделать так?

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.16.0/24 -j SNAT --to-source *1.*30.2*0.3*
iptables -A FORWARD -d 2**.*1*.*5.*7 -p tcp --dport 443 -j ACCEPT 

Відредаговано foreverok
Ссылка на сообщение
Поделиться на других сайтах
REV

REV 0

Опубліковано:
  • Автор
Опубліковано:

Бред у тебя в голове

Когда дядя KaYot говорит, я прислушиваюсь. Ни разу он еще не пинал в ненужное русло.

Но перепроверю и Ваш, вариант...спасибо, что уделили внимание и отписались.)

 

Ссылка на сообщение
Поделиться на других сайтах
REV

REV 0

Опубліковано:
  • Автор
Опубліковано:

Фильтрацию? В nat-е? - Занятнос...

Похоже что у ТСа логика ipchains, а не iptables в голове. - Правила туда и обратно на хрена то...

Была бы логика другая я скорее всего не писал в данном разделе...но спасибо за замечание.

Ссылка на сообщение
Поделиться на других сайтах
REV

REV 0

Опубліковано:
  • Автор
Опубліковано:

Залиште дурну ідею редіректити хттпс. Ця витівка приречена - тому що це хттпс!

Просто робіть редірект по 80 порту і не займайтесь хвігньой.

Дивлячись на те, що Ви не перший, хто так говорить...скоріш за все так і буде.

Ссылка на сообщение
Поделиться на других сайтах
REV

REV 0

Опубліковано:
  • Автор
Опубліковано:

Вышло все вот так:

iptables -t filter -A INPUT -s 192.168.16.0/24 -d 2**.1**.6*.*7 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 2**.1**.6*.*7 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.16.0/24  !-d 2**.1**.6*.*7 -p tcp --dport 80 -j REDIRECT --to-port 8000
iptables -t nat -A PREROUTING -s 192.168.16.0/24 !-d 2**.1**.6*.*7 -p tcp --dport 443 -j REDIRECT --to-port 8000
Все остальное не пускает, а по этой ссылке все ходит_)
Спасибо всем, кто отвечал_)
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • smartlid
      Iptables synproxy + nat
      Від smartlid
      Есть такая проблема, сделал ipip туннель и перенаправляю трафик с внешнего айпи на внутренний, для этого используется nat + prerouting, вообщем обычный фовардинг. И есть synproxy который убирает с контрака syn, поэтому перенаправление трафика ломается. Вот правила:
      iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m conntrack --ctstate INVALID -j DROP iptables -t nat -D PREROUTING -p tcp -m tcp -d $wan_addr --dport $dest_port_wan -j DNAT --to-destination $dest_addr_lan:$dest_port_lan iptables -D FORWARD -m state -p tcp -d $dest_addr_lan --dport $dest_port_lan --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -D POSTROUTING -p tcp -m tcp -s $dest_addr_lan --sport $dest_port_lan -j SNAT --to-source $wan_addr Как это заставить вместе работать?
    • ageNT_666
      Как ограничить количество контраков?
      Від ageNT_666
      Всем привет, подскажите как можно ограничить максимальное количество контраков на абона? делал так
      iptables -I FORWARD -m connlimit --connlimit-above 5000 -j DROP
      проц в полку!(
    • Archy_k
      Debian, iptables - нужна помощь: Редирект от $1 к $2 на порту.
      Від Archy_k
      Всем привет.
      У меня был серв на фрибсд, который не перенес грозу Теперь приходится все плюшки поднять на Дебиане.
      Подскажите пожалуйста, как в Дебиане сделать такую штуку:
      Есть сеть, которая натится на некую ip, например 1.1.1.1
      Есть абонент, который получает серый ip 172.16.0.100 (но когда денег на счету нет, то 172.22.0.100)
      И вот этот абонент установил ip-камеру. И смотрит он эту камеру софтиной на портах 9998 и 9999 например.
      1.Как в дебиане сделать чтоб фаервол перекидывал запросы на ip 1.1.1.1:9998 и 1.1.1.1:9999 в сторону абонента 172.16.0.100:9998 и 172.16.0.100:9999 ?
      2.Что делать если завтра 2 абонент захочет ip-камеру. Можно ли чтоб запросы на ip 1.1.1.1:788 и 1.1.1.1:789 летели на 172.16.0.100:9998 и 172.16.0.100:9999 ?
      Вопрос именно в написании самих команд этого iptables'а... не получается понять сам принцип работы этого iptables'a.
      Заранее благодарю за помощь!
    • tkapluk
      Linux. Ответ через другой интерфейс
      Від tkapluk
      Есть линуксовый сервер с iptables.
       
      На интерфейс Eth0 приходит пакет и успешно отсылается на Eth1. В ответ на этот пакет через Eth2 возвращается ответный пакет и умирает на сервере.
      Если ответный пакет возвращается через Eth1 все ок(уходит в Eth0). Новые пакеты с Eth2 в Eth0 тоже идут.
       
      Схематически:

      Eth0->[ ]->Eth1 X <-[ ]<-Eth2 Как заставить сервер отправлять ответные пакеты через Eth0?
    • mr.Scamp
      Iptables Per-Connection-Classifier
      Від mr.Scamp
      Заметил в микротике прикольную фичу - PCC.
      Позволяет разделить трафик на несколько потоков, причем равномерно.
      Очень полезно для overload NAT-а кучи сеток через несколько внешних адресов, например
      /ip firewall mangle add action=mark-connection chain=prerouting new-connection-mark=nat-1 passthrough=yes per-connection-classifier=src-address:8/0 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-2 passthrough=yes per-connection-classifier=src-address:8/1 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-3 passthrough=yes per-connection-classifier=src-address:8/2 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-4 passthrough=yes per-connection-classifier=src-address:8/3 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-5 passthrough=yes per-connection-classifier=src-address:8/4 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-6 passthrough=yes per-connection-classifier=src-address:8/5 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-7 passthrough=yes per-connection-classifier=src-address:8/6 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-8 passthrough=yes per-connection-classifier=src-address:8/7 \     src-address=10.100.0.0/16 /ip firewall nat add action=src-nat chain=srcnat connection-mark=nat-1 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-2 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-3 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-4 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-5 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-6 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-7 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-8 out-interface=vlan452 to-addresses=194.44.166.xxx Есть вопрос - а как реализовать такой же рулсет с помощью iptables?
       
       
×
×
  • Створити нове...