Здравствуйте! Есть шлюз с двумя интерфейсами (Интернет и Локалка) и iptables:

INET_IFACE=eth0

INET_IP=62.152.Х.Х

LAN_IFACE=eth1

LAN_IP=192.168.0.101

Внутри локальной сети есть web-сервер (192.168.0.202), на котором работает поддомен основного сайта (web.bla-bla.ru). Надо дать доступ к этому поддомену из вне и из локальной сети. Было написано такое правило:

$IPT -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 80 -j DNAT --to-destination 192.168.0.202

Вроде заработало. Люди из вне могут вбить в адресную строку браузера 62.152.Х.Х или адрес web.bla-bla.ru и все работает.

А вот у пользователей локальной сети не отрывается поддомен. Подскажите какое надо дописать правило, чтобы люди из локальной сети при обращении к web.bla-bla.ru могли работать с поддоменом.

Спасибо!

Здравствуйте! Достался мне небольшой старенький сервак, который работает шлюзом в небольшую локальную сеть. Пару лет назад, когда социальные сети еще только набирали популярность (в частности, Вконтакте) каким-то админом был настроен iptables на этой шлюзе, и для блокировки Вконтакте он использовал небольшой список из IP-адресов.

##vk.com##
$IPT -A FORWARD -s 87.240.131.97 -j DROP
$IPT -A FORWARD -s 87.240.131.98 -j DROP
$IPT -A FORWARD -s 87.240.131.99 -j DROP
$IPT -A FORWARD -s 87.240.131.100 -j DROP
$IPT -A FORWARD -s 87.240.131.101 -j DROP
$IPT -A FORWARD -s 87.240.131.102 -j DROP
$IPT -A FORWARD -s 87.240.131.103 -j DROP
$IPT -A FORWARD -s 87.240.131.249 -j DROP
$IPT -A FORWARD -s 87.240.188.248 -j DROP
$IPT -A FORWARD -s 87.240.188.249 -j DROP
$IPT -A FORWARD -s 87.240.188.250 -j DROP
$IPT -A FORWARD -s 87.240.188.251 -j DROP
$IPT -A FORWARD -s 87.240.188.252 -j DROP
$IPT -A FORWARD -s 87.240.188.253 -j DROP
$IPT -A FORWARD -s 87.240.188.254 -j DROP
$IPT -A FORWARD -s 93.186.224.240 -j DROP
$IPT -A FORWARD -s 93.186.224.241 -j DROP
$IPT -A FORWARD -s 93.186.224.242 -j DROP
$IPT -A FORWARD -s 93.186.224.243 -j DROP
$IPT -A FORWARD -s 93.186.224.244 -j DROP
$IPT -A FORWARD -s 93.186.224.247 -j DROP

Сейчас же серверов намного больше и блокировать их по IP сложно. Я еще только начинаю знакомство с iptables, прочитав их мануал нигде не встретил команды для блокировки именно URLa, а не IP.

Подскажите, если я добавлю в iptable вот такую команду, то перестанет работать Вконтакте или нет?

$IPT -A INPUT -s vk.com -j DROP
$IPT -A OUTPUT -d vk.com -j DROP

Я думаю что не сработает, потому что происходит фильтрация пакетов, а в пакете указывается IP-адрес отправителя/получателя, а не URL.

Если не будет работать, подскажите, пожалуйста, как заблокировать. Спасибо!