forum.opennet.ru - "Вопрос по iptables" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вопрос по iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по iptables"
Сообщение от salex on 14-Май-03, 12:18 (MSK)
Подскажите пожалуйста, как сделать так, чтобы некоторые пользователи могли ходить только на определенный сайт. Выход в интернет через маскарад. Очень бы помогли, т.к. сам не особо хорошо разбираюсь в этом деле. Спасибо.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Вопрос по iptables, Varran, 12:32 , 14-Май-03, (1)
- Вопрос по iptables, salex, 12:47 , 14-Май-03, (2)
  - Вопрос по iptables, Bart_Simpson, 12:48 , 14-Май-03, (4)
- Вопрос по iptables, Bart_Simpson, 12:47 , 14-Май-03, (3)
  - Вопрос по iptables, salex, 12:54 , 14-Май-03, (5)
    - Вопрос по iptables, Bart_Simpson, 13:20 , 14-Май-03, (6)
      - Вопрос по iptables, salex, 13:39 , 14-Май-03, (7)
        
        Вопрос по iptables, nece, 13:55 , 14-Май-03, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос по iptables"

Сообщение от Varran on 14-Май-03, 12:32  (MSK)

>Подскажите пожалуйста, как сделать так, чтобы некоторые пользователи могли ходить только на
>определенный сайт. Выход в интернет через маскарад. Очень бы помогли, т.к.
>сам не особо хорошо разбираюсь в этом деле. Спасибо.
если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
типа
iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j SNAT --to-source zzz.zzz.zzz.zzz

ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи на opennet доку по iptables.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Вопрос по iptables"

Сообщение от salex on 14-Май-03, 12:47  (MSK)

>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и
>адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
> типа
>iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j
>SNAT --to-source zzz.zzz.zzz.zzz
>
>ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи
>на opennet доку по iptables.
Дело в том, что нет реального ip, смотрящего в инет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Вопрос по iptables"

Сообщение от Bart_Simpson on 14-Май-03, 12:48  (MSK)

>>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и
>>адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
>> типа
>>iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j
>>SNAT --to-source zzz.zzz.zzz.zzz
>>
>>ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи
>>на opennet доку по iptables.
>
>Дело в том, что нет реального ip, смотрящего в инет.

читай ниже, на форварде с их внутреннего ip на ip назначения фильтровть и все.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вопрос по iptables"

Сообщение от Bart_Simpson on 14-Май-03, 12:47  (MSK)

>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и
>адрес сервера содержащего сайт yyy.yyy.yyy.yyy.
> типа
>iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j
>SNAT --to-source zzz.zzz.zzz.zzz
>
>ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи
>на opennet доку по iptables.

Лучше на forwarde все это фильтровать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Вопрос по iptables"

Сообщение от salex on 14-Май-03, 12:54  (MSK)

>Лучше на forwarde все это фильтровать.
Доку читал, но пока мало что понял, а нельзя ли показать, как это примерно все будет выглядеть (показать в каком направлении действовать).

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Вопрос по iptables"

Сообщение от Bart_Simpson on 14-Май-03, 13:20  (MSK)

>
>>Лучше на forwarde все это фильтровать.
>
>Доку читал, но пока мало что понял, а нельзя ли показать, как
>это примерно все будет выглядеть (показать в каком направлении действовать).

http://www.google.ru
iptables tutorial

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Вопрос по iptables"

Сообщение от salex on 14-Май-03, 13:39  (MSK)

>http://www.google.ru
>iptables tutorial
Спасибо, сам вряд ли бы когда догадался.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Вопрос по iptables"

Сообщение от nece on 14-Май-03, 13:55  (MSK)

Разрешаем выходить только на один опредилённый хост.
Предположим твоя сетка 10.10.10.0/24
# Разрешаем себе со своей машины куда угодно
/sbin/iptables -A FORFARD -s 10.10.10.114 -j ACCEPT
# Разрешаем юзеру X c ip 10.10.10.7 выход толька на yandex (xxx.xxx.xxx.xxx)
/sbin/iptables -A FORFARD -s 10.10.10.7 -d xxx.xxx.xxx.xxx -j ACCEPT
Тоесть этот узер сможет выйти только на сервер с ip xxx.xxx.xxx.xxx
а на другие(в инете) ip ему выход будет закрыт.
#Запрещаем всем выходить в инет
/sbin/iptables -A FORFARD -s 10.10.10.0/24 -j DROP
Если чего пиши. УДАЧИ

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос по iptables"
Сообщение от Varran on 14-Май-03, 12:32 (MSK)
>Подскажите пожалуйста, как сделать так, чтобы некоторые пользователи могли ходить только на >определенный сайт. Выход в интернет через маскарад. Очень бы помогли, т.к. >сам не особо хорошо разбираюсь в этом деле. Спасибо. если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и адрес сервера содержащего сайт yyy.yyy.yyy.yyy. типа iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j SNAT --to-source zzz.zzz.zzz.zzz ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи на opennet доку по iptables.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Вопрос по iptables"
	Сообщение от salex on 14-Май-03, 12:47 (MSK)
	>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и >адрес сервера содержащего сайт yyy.yyy.yyy.yyy. > типа >iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j >SNAT --to-source zzz.zzz.zzz.zzz > >ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи >на opennet доку по iptables. Дело в том, что нет реального ip, смотрящего в инет.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Вопрос по iptables"
	Сообщение от Bart_Simpson on 14-Май-03, 12:48 (MSK)
	>>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и >>адрес сервера содержащего сайт yyy.yyy.yyy.yyy. >> типа >>iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j >>SNAT --to-source zzz.zzz.zzz.zzz >> >>ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи >>на opennet доку по iptables. > >Дело в том, что нет реального ip, смотрящего в инет. читай ниже, на форварде с их внутреннего ip на ip назначения фильтровть и все.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Вопрос по iptables"
	Сообщение от Bart_Simpson on 14-Май-03, 12:47 (MSK)
	>если это делать через iptables то необходимо указывать адрес юзера xxx.xxx.xxx.xxx и >адрес сервера содержащего сайт yyy.yyy.yyy.yyy. > типа >iptables -t nat -p TCP -s xxx.xxx.xxx.xxx -d yyy.yyy.yyy.yyy --dport 80 -j >SNAT --to-source zzz.zzz.zzz.zzz > >ну zzz.zzz.zzz.zzz это типа адрес твоего внешнего интерфейса смотрящего в инет поищи >на opennet доку по iptables. Лучше на forwarde все это фильтровать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Вопрос по iptables"
	Сообщение от salex on 14-Май-03, 12:54 (MSK)
	>Лучше на forwarde все это фильтровать. Доку читал, но пока мало что понял, а нельзя ли показать, как это примерно все будет выглядеть (показать в каком направлении действовать).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Вопрос по iptables"
	Сообщение от Bart_Simpson on 14-Май-03, 13:20 (MSK)
	> >>Лучше на forwarde все это фильтровать. > >Доку читал, но пока мало что понял, а нельзя ли показать, как >это примерно все будет выглядеть (показать в каком направлении действовать). http://www.google.ru iptables tutorial
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Вопрос по iptables"
	Сообщение от salex on 14-Май-03, 13:39 (MSK)
	>http://www.google.ru >iptables tutorial Спасибо, сам вряд ли бы когда догадался.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Вопрос по iptables"
	Сообщение от nece on 14-Май-03, 13:55 (MSK)
	Разрешаем выходить только на один опредилённый хост. Предположим твоя сетка 10.10.10.0/24 # Разрешаем себе со своей машины куда угодно /sbin/iptables -A FORFARD -s 10.10.10.114 -j ACCEPT # Разрешаем юзеру X c ip 10.10.10.7 выход толька на yandex (xxx.xxx.xxx.xxx) /sbin/iptables -A FORFARD -s 10.10.10.7 -d xxx.xxx.xxx.xxx -j ACCEPT Тоесть этот узер сможет выйти только на сервер с ip xxx.xxx.xxx.xxx а на другие(в инете) ip ему выход будет закрыт. #Запрещаем всем выходить в инет /sbin/iptables -A FORFARD -s 10.10.10.0/24 -j DROP Если чего пиши. УДАЧИ
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх