https://opennet.dev/openforum/vsluhforumID10/4878.html Здрастувте,<br>нужно заблокировать парочку сайтов.<br>Gateway CentOS с выходом в интернет через VPN-роутер.<br>Юзеры с локалки подключаються через VPN.<br>Я пробовал так : <br><br>iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP <br>В итоге я с гейтвея зайти на сайт не могу , а юзеры могут.<br>Что не так то?<br>Заранее спасибо<br> https://opennet.dev/openforum/vsluhforumID10/4878.html#15 Fri, 24 Jun 2011 13:30:38 GMT &gt; DNAT tcp -- 172.16.0.0/24 <br>&gt; !172.16.0.238 <br>&gt; multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 <br>&gt; DNAT udp -- 172.16.0.0/24 <br>&gt; !172.16.0.238 <br>&gt; multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 <br><br> Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.<br> https://opennet.dev/openforum/vsluhforumID10/4878.html#14 Fri, 24 Jun 2011 13:27:20 GMT &gt; +&lt;:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид. <br><br>Да ужжж. :) Опять же - еще одна сетка вдруг вылезла. <br> <br><br><br> https://opennet.dev/openforum/vsluhforumID10/4878.html#13 Fri, 24 Jun 2011 12:13:24 GMT &gt; DNAT <br>&gt; to:172.16.0.238:3128 <br><br>+&lt;:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид.<br> https://opennet.dev/openforum/vsluhforumID10/4878.html#12 Fri, 24 Jun 2011 12:03:33 GMT [root@asu SOFT]# iptables -t nat -nL<br>Chain PREROUTING (policy ACCEPT)<br>target prot opt source destination<br>DNAT tcp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128<br>DNAT udp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128<br><br>Chain POSTROUTING (policy ACCEPT)<br>target prot opt source destination<br>MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xa<br>MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xc<br><br>Chain OUTPUT (policy ACCEPT)<br>target prot opt source destination<br>[root@asu SOFT]#<br>А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?<br><br><br><br><br> https://opennet.dev/openforum/vsluhforumID10/4878.html#11 Fri, 24 Jun 2011 11:39:29 GMT &gt; И почему тогда не сработало правило на весь исходящий трафик?<br>&gt; iptables -I OUTPUT -d *site_ip* -j DROP <br><br> Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.<br><br><br> https://opennet.dev/openforum/vsluhforumID10/4878.html#10 Fri, 24 Jun 2011 11:37:09 GMT &gt; [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j <br>&gt; DROP <br>&gt; iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do <br>&gt; you need to insmod?) <br>&gt; Perhaps iptables or your kernel needs to be upgraded.<br>&gt; [root@asu SOFT]# <br><br> Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)<br><br><br> https://opennet.dev/openforum/vsluhforumID10/4878.html#9 Fri, 24 Jun 2011 11:00:28 GMT *&gt;&gt; а nat!<br>&gt;-t NAT<br>&gt; can't initialize iptables table `NAT': Table does not exist https://opennet.dev/openforum/vsluhforumID10/4878.html#8 Fri, 24 Jun 2011 10:59:07 GMT И почему тогда не сработало правило на весь исходящий трафик?<br>iptables -I OUTPUT -d *site_ip* -j DROP<br><br> https://opennet.dev/openforum/vsluhforumID10/4878.html#7 Fri, 24 Jun 2011 10:53:30 GMT &gt; Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? <br>&gt; И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. <br>&gt; Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте <br>&gt; изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже <br>&gt; третья подсказка.<br><br>Спасибо за ответ , но можно по подробней.<br><br>Вот новое правило и новый фейл<br><br><br>[root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP<br>iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)<br>Perhaps iptables or your kernel needs to be upgraded.<br>[root@asu SOFT]#<br>