Вот так получается в просмотре.

root@denis-MS-7236:/home/denis# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all  — anywhere anywhere source IP range 192.168.0.0-192.168.0.255 ACCEPT all  — anywhere anywhere source IP range 10.0.0.0-10.10.255.255

Chain FORWARD (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all  — anywhere anywhere source IP range 192.168.0.0-192.168.0.255 ACCEPT all  — anywhere anywhere source IP range 10.0.0.0-10.10.255.255

можно ufw взять, оно проще говорят, по ссылке вроде и про диапазоны есть, сети какие то, наверное оно

http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/firewall

Как быть?

Научится правильно задавать вопросы. Совершенно непонятно - что за диапазоны, где эти IP, какие ещё ресурсы и т.п. Может тебе вообще FORWARD нужен, или вообще какой RAWPOST, а не INPUT

Сорри. Я же говорю, что плохо в этом разбираюсь ещё пока.

В windows есть программа ip-blocker или BwMeter. Мне нужно что-то типа такого. Заблокировать доступ ко всему интернету и всему что может потреблять трафик кроме сети нашей страны Узбекистан - Tas-Ix (что является бесплатным и не потребляет интернет трафик) Подключение к интернету идёт через роутер (на нём ppoe сам поднимается)

Список диапазонов: 1: 10.0.0.0 - 10.255.255.255 2: 31.28.25.0 - 31.28.25.255 3: 31.135.208.0 - 31.135.215.255 4: 37.110.208.0 - 37.110.215.255 5: 46.8.35.0 - 46.8.35.255 6: 46.227.120.0 - 46.227.127.255 7: 46.255.64.0 - 46.255.71.255 8: 62.209.128.0 - 62.209.159.255 9: 77.220.192.0 - 77.220.223.255 10: 80.80.208.0 - 80.80.223.255 11: 81.95.224.0 - 81.95.239.255 12: 82.215.65.0 - 82.215.91.255 13: 83.69.128.0 - 83.69.159.255 14: 83.221.160.0 - 83.221.161.255 15: 83.221.163.0 - 83.221.163.255 16: 83.221.168.0 - 83.221.191.255 17: 84.54.64.0 - 84.54.114.255 18: 84.54.120.0 - 84.54.123.255 19: 87.237.232.0 - 87.237.239.255 20: 89.146.64.0 - 89.146.127.255 21: 89.236.192.0 - 89.236.255.255 22: 91.188.128.0 - 91.188.159.255 23: 91.196.76.0 - 91.196.79.255 24: 91.203.172.0 - 91.203.175.255 25: 91.204.236.0 - 91.204.239.255 26: 91.212.89.0 - 91.212.89.255 27: 91.212.180.0 - 91.212.180.255 28: 91.213.31.0 - 91.213.31.255 29: 91.229.160.0 - 91.229.165.255 30: 91.231.56.0 - 91.231.59.255 31: 91.234.218.0 - 91.234.219.255 32: 91.240.12.0 - 91.240.15.255 33: 92.38.24.0 - 92.38.27.255 34: 92.38.52.0 - 92.38.55.255 35: 94.100.176.0 - 94.100.191.255 36: 94.141.64.0 - 94.141.95.255 37: 94.158.48.0 - 94.158.63.255 38: 94.230.224.0 - 94.230.239.255 39: 95.46.88.0 - 95.46.95.255 40: 109.207.240.0 - 109.207.255.255 41: 149.154.0.0 - 149.154.255.255 42: 172.16.0.0 - 172.16.255.255 43: 172.18.3.1 - 172.18.3.1 44: 178.216.128.0 - 178.216.135.255 45: 178.218.200.0 - 178.218.207.255 46: 185.4.160.0 - 185.4.163.255 47: 185.6.40.0 - 185.6.43.255 48: 185.8.212.0 - 185.8.213.255 49: 185.63.224.0 - 185.63.227.255 50: 185.74.4.0 - 185.74.7.255 51: 185.74.100.0 - 185.74.103.255 52: 185.78.136.0 - 185.78.139.255 53: 188.113.192.0 - 188.113.255.255 54: 188.130.172.0 - 188.130.172.255 55: 188.130.255.0 - 188.130.255.255 56: 192.168.0.0 - 192.168.255.255 57: 193.27.206.0 - 193.27.207.255 58: 195.34.28.0 - 195.34.29.255 59: 195.88.214.0 - 195.88.215.255 60: 195.158.0.0 - 195.158.31.255 61: 195.211.180.0 - 195.211.183.255 62: 195.238.104.0 - 195.238.107.255 63: 213.206.32.0 - 213.206.63.255 64: 213.230.64.0 - 213.230.127.255 65: 217.12.80.0 - 217.12.86.255 66: 217.29.112.0 - 217.29.127.255 67: 217.30.160.0 - 217.30.175.255 68: 217.69.136.0 - 217.69.141.255 69: 230.30.30.0 - 230.30.30.255

Список диапазонов: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.16.255.255 172.18.3.1 - 172.18.3.1 192.168.0.0 - 192.168.255.255

давай дальше, ага.

10.0.0.0-10.255.255.255 31.28.25.0-31.28.25.255 31.135.208.0-31.135.215.255 37.110.208.0-37.110.215.255 46.8.35.0-46.8.35.255 46.227.120.0-46.227.127.255 46.255.64.0-46.255.71.255 62.209.128.0-62.209.159.255 77.220.192.0-77.220.223.255 80.80.208.0-80.80.223.255 81.95.224.0-81.95.239.255 82.215.65.0-82.215.91.255 83.69.128.0-83.69.159.255 83.221.160.0-83.221.161.255 83.221.163.0-83.221.163.255 83.221.168.0-83.221.191.255 84.54.64.0-84.54.114.255 84.54.120.0-84.54.123.255 87.237.232.0-87.237.239.255 89.146.64.0-89.146.127.255 89.236.192.0-89.236.255.255 91.188.128.0-91.188.159.255 91.196.76.0-91.196.79.255 91.203.172.0-91.203.175.255 91.204.236.0-91.204.239.255 91.212.89.0-91.212.89.255 91.212.180.0-91.212.180.255 91.213.31.0-91.213.31.255 91.229.160.0-91.229.165.255 91.231.56.0-91.231.59.255 91.234.218.0-91.234.219.255 91.240.12.0-91.240.15.255 92.38.24.0-92.38.27.255 92.38.52.0-92.38.55.255 94.100.176.0-94.100.191.255 94.141.64.0-94.141.95.255 94.158.48.0-94.158.63.255 94.230.224.0-94.230.239.255 95.46.88.0-95.46.95.255 109.207.240.0-109.207.255.255 149.154.0.0-149.154.255.255 172.16.0.0-172.16.255.255 172.18.3.1-172.18.3.1 178.216.128.0-178.216.135.255 178.218.200.0-178.218.207.255 185.4.160.0-185.4.163.255 185.6.40.0-185.6.43.255 185.8.212.0-185.8.213.255 185.63.224.0-185.63.227.255 185.74.4.0-185.74.7.255 185.74.100.0-185.74.103.255 185.78.136.0-185.78.139.255 188.113.192.0-188.113.255.255 188.130.172.0-188.130.172.255 188.130.255.0-188.130.255.255 192.168.0.0-192.168.255.255 193.27.206.0-193.27.207.255 195.34.28.0-195.34.29.255 195.88.214.0-195.88.215.255 195.158.0.0-195.158.31.255 195.211.180.0-195.211.183.255 195.238.104.0-195.238.107.255 213.206.32.0-213.206.63.255 213.230.64.0-213.230.127.255 217.12.80.0-217.12.86.255 217.29.112.0-217.29.127.255 217.30.160.0-217.30.175.255 217.69.136.0-217.69.141.255 230.30.30.0-230.30.30.255

А что, теперь модно-молодёжно использовать iprange вместо масок? Если iptables -L показывает то что вам надо в INPUT и OUTPUT, то оно и работает как указано - не пускает из Инета на эту машину и из неё в Инет кроме указанных адресов. Если же у вас при FORWARD полиси ACCEPT нет трафика, то может просто дело в том, что вы вообще forward между интерфейсами не включили?

ты лучше расскажи, зачем ты всё это на локальной машине сделать пытаешься?))))

А где я это сделать должен то? Если вы имеете в виду роутер, то это не вариант. Так как роутером пользуются все в доме по wifi и им доступ нужен ко всему, если я там всё закрою, то и им не будет доступа, а это не годится. И тем более не удобно будет каждый раз как понадобится инет - лезть в роутер и открывать и закрывать доступ.

Как проверить включён или нет? И как включить?

Сейчас попробовал напрямую кабель вставить, так к локальным ресурсам доступ открылся и вроде всё как должно быть стало, но до переподключения сети, а потом всё, никуда и ни где. Но напрямую вариант тоже не удобен, так как нужно поднимать ppoe отдельно.

Так как роутером пользуются все в доме по wifi и им доступ нужен ко всему, если я там всё закрою, то и им не будет доступа, а это не годится.

Заблокировать доступ ко всему интернету и всему что может потреблять трафик кроме сети нашей страны Узбекистан - Tas-Ix (что является бесплатным и не потребляет интернет трафик) Подключение к интернету идёт через роутер (на нём ppoe сам поднимается)

ты уж сам тогда определи, что тебе надо, что ты хочешь, и что тебе даст в плане экономии твои телодвижения с твоим пк.

прикольная ава

На всех других устройствах стоит блокировщик. В котором можно по необходимости включать и отключать доступ. Проблема только в одном компе с убунтой. (хочется больше времени проводить в этой системе, но из за утечки не могу) Вот за час 25мб уплыло, а кроме тут никуда не заходил. На windows стоит и блокирует нормально с этого же компа. А тут даже программы нету в которую вписал ip адреса и готово, блин...

Может поможет ifconfig

root@denis-MS-7236:/home/denis# ifconfig

enp2s4 Link encap:Ethernet HWaddr 00:19:db:27:19:b7 inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0

inet6 addr: fe80::a9d3:1c31:413:dbd1/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:44864 errors:0 dropped:0 overruns:0 frame:0

TX packets:35555 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:41498493 (41.4 MB) TX bytes:4477346 (4.4 MB)

lo Link encap:Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:65536 Metric:1

RX packets:9909 errors:0 dropped:0 overruns:0 frame:0

TX packets:9909 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1

RX bytes:1099605 (1.0 MB) TX bytes:1099605 (1.0 MB)

Почему то сеть назывыается у меня enp2s4 а не как eth0, eth1 и тому подобное. Хотя раньше была eth0.

iprange

Лiл, учитывая что у тебя там две подсетки /24 и одна /16.

Это плохо? Не получится ничего у меня сделать?

Установил Firewall Builder но так и не понял как настроить, всё на английском и не понятно как что и куда. Читал инструкции, но конкретно для моих целей нету куда нажать и что написать... Уже неделю парюсь не выходит.

В windows есть программа

Не хочешь читать маны - вали на свою винду.

Не работает. Так же могу зайти на страницу роутера только 192.168.0.1 а на другие нету доступа.

Да уже неделю читал много сайтов, ничего не выходит. Я ж не сразу сюда писать начал просто так. Куда мне валить я сам разберучь, если трудно подсказать куда копать, то не нужно грубить, ходите мимо молча.

Да уже неделю читал много сайтов, ничего не выходит.

Надо не сайты читать, а документацию на iptables и на устройство сетевой подсистемы линукса.

если трудно подсказать куда копать,

Это вообще невозможно, потому что вопрос не имеет смысла. Он примерно эквивалентен вопросу «какое топливо мне заливать в синюю машину - дизель или бензин? А то я залил рапсового масла, а она не заводится.»

то не нужно грубить, ходите мимо молча.

Ага, щаз. Лишний раз пнуть вендузятника - это удовольствие. :)

Но ведь вам действительно трудно помочь, ибо проблема описана как речь пользователя, не разбирающегося в вопросе типа «не работает, могу зайти только на рутер». Ну вот примерный список возникающий вопросов:

1. Без вашего файервола, которым вы хотите ограничить доступ всё работает?

2. Какая цепочка для начала у вас вызывает первый вопрос? Входящие на эту машину, исходящие или вообще речь о проходящих пакетов. Попробуйте начать с чего-то одного.

3. Есть ли рабочий NAT, откуда такая мешанина серых и белых сетей?

4. Вы можете сделать что-то типа лабы, чтобы запустить анализатор трафика?

Ну и так далее.

1. Без файервола всё работает, я тут и пишу с с этого компа.

2. И входящий и исходящий хочу заблочить.

3. Не знаю что такое NAT. Если имеется ввиду роутер, то да TL-WR740N, на нём поднимается ppoe подключение и подключён к компу кабелем (сетевым, а то вдруг ещё usb бывают).

4. Вообще не понял вопроса, так как не знаю что такое «ЛАБА».

Сейчас смотрю программу «gufw» вроде именно то, что нужно. буду разбираться сейчас.

Угу. Мы всё поняли. Если вот это

iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 10.10.0.0/16 -j ACCEPT
iptables -A OUTPUT -d 31.28.25.0/24 -j ACCEPT
iptables -P OUTPUT DROP

Вангую это список подсетей прова с халявным трафиком, так?

Всё! Проблема решена через «Gufw Межсетевой экран» В графическом виде и на русском и понятно, что где и когда блокирует. Кому понадобится, то вот ссылка: http://www.linux-info.ru/gufw.html Всем спасибо БОЛЬШОЕ за помощь!!! :)

Это не только подсети прова, это подсети уз сайтов так называемой зоны Tas-Ix.

Мы рады, что у вас получилось, но умные тулзы могут дать ошибочное представление о понимании сути, конечно, не обязательно.

4. Вообще не понял вопроса, так как не знаю что такое «ЛАБА»

Я, кажется, понял, у вас русский не родной. Когда-то это был просто студенческий жаргон, а теперь ещё и натуральный англицизм, 'lab' же.

2. И входящий и исходящий хочу заблочить.

Вы не распарсили. Я вам предлагал разбить задачу на подзадачи и решать последовательно. Ведь об этом просто лениво долго расписывать. 100% от платного входящего избавиться не возможно, за те пакеты, что вы уничтожили правилами экрана вам всё равно придётся заплатить. Так что входящие правила обычно предназначены для другого - защиты хоста.

3. Не знаю что такое NAT.

Это плохо. Что-то не знать - не проблема. Плохо, когда даже не пытаются узнать.

На понимании сути у меня почти весь месячный трафик ушёл, по этому так лучше не понимать. Я потом вернусь ещё к этой теме, но как будет возможность и трафик.

Русский у меня родной, просто в Пушкинских творениях такого слова не встречалось. :)

На счёт правил, я понял. Но суть в том, что-бы исходящие тоже не работали, так как даже тот самый виджет погоды в процессах незаметно пытается лезть в инет и таких ресурсов много. С помощью этой утилиты, я закрыл в обоих направлениях всё. :)