LINUX.ORG.RU
ФорумAdmin

закрыть все для IP, и дать доступ только для интернета


0

1

Здравствуйте. Есть сеть интернет шлюз 192.168.0.1. 150 компов в сетке, всем раздается инет по прозрачному прокси, также стоит jabber server и samba. Значит появилась такая задача дать инет по wifi. Поставил роутер и дал ему адрес 192.168.0.253. А дальше он уже раскидывает адреса вида 192.168.100.0. Мне нужно через iptables сделать адресу роутера 192.168.0.253 запрет на все кроме интернета.

Делаю так и что-то не получается, закрывается полностью доступ:

iptables -A INPUT -p tcp -s 192.168.0.253 -m multiport --dports 3128 -j ACCEPT iptables -A INPUT -s 192.168.0.253 -j DROP



Последнее исправление: nagohak (всего исправлений: 1)

а на 3128 у тебя что? squid?

mumpster ★★★★★
()
Ответ на: комментарий от aleks13

Попробуй вот так.

-A INPUT -p tcp -m tcp -s 192.168.100.0/24 --dport 3128 -j ACCEPT
-A INPUT -s 192.168.100.0/24 -j DROP

aleks13
()

1. Определи, wi-fi у тебя натит клиентов, или просто роутит? От этого зависит, какие адреса запрещать.

2. На шлюзе запрещающие правила надо пихать не в INPUT, а в FORWARD. В INPUT попадают пакеты, предназначенные для твоего шлюза, а те, что идут в инет, попадают в FORWARD.

sidor ★★
()
Ответ на: комментарий от sidor

2. На шлюзе запрещающие правила надо пихать не в INPUT, а в FORWARD. В INPUT попадают пакеты, предназначенные для твоего шлюза, а те, что идут в инет, попадают в FORWARD.

Если я не ошибаюсь, пакеты, идущие через прокси, таки должны пройти через INPUT

selim
()

Мне нужно через iptables сделать адресу роутера 192.168.0.253 запрет на все кроме интернета.

Что значит «запрет на все кроме интернета»? Запрет доступа к другим компам в локалке? Тогда правилами на шлюзе ничего не сделаешь, нужно вписывать соответствующие правила на wifi роутере.

selim
()

и покажи выхлоп iptables -L на шлюзе, если не секрет.

selim
()
Ответ на: комментарий от selim

Если я не ошибаюсь, пакеты, идущие через прокси, таки должны пройти через INPUT

Не так.

Если это прозрачный - по умолчанию у тебя должны пакеты тоже должны в FORWARD попасть. Но ты делаешь редирект в цепочке PREROUTING таблицы nat. И после этого редиректа пакеты вместо FORWARD попадают в INPUT.

Но я говорил про запрещающее правило. Весь остальной трафик-то у тебя не перенаправляется. И он попадает в цепочку FORWARD.

sidor ★★
()
Ответ на: комментарий от sidor

Небольшое дополнение. А то не очень понятно написал :)

в цепочку INPUT попадает только тот трафик, который был перенаправлен на прокси (на порт 3128) в цепочке PREROUTING таблицы nat. Весь остальной попрежнему фигачит в FORWARD. Поэтому и запрещать его надо в FORWARD-е.

sidor ★★
()
Ответ на: комментарий от sidor

в цепочку INPUT попадает только тот трафик, который был перенаправлен на прокси (на порт 3128) в цепочке PREROUTING таблицы nat. Весь остальной попрежнему фигачит в FORWARD. Поэтому и запрещать его надо в FORWARD-е.

Спасибо за разъяснение :) У меня как-то вылетело из головы, что не весь трафик редиректится на прокси

selim
()

Курите iptables. В Викиучебниках есть отличная статья на эту тему. И рекомендую исправить заголовок, врядли с таким кто откликнется.

ikuchmin
()
Ответ на: комментарий от aleks13

Можно и так, можно и эдак. Это уж пусть топикстартер выбирает. Я лишь хотел сказать, что запрещать в форварде надо. А уж каким образом - по личным предпочтениям хозяина системы :)

sidor ★★
()

Всем спасибо, через роутер решил!

nagohak
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.