https://www.opennet.ru/openforum/vsluhforumID10/5255.html Собственно, почитал вот это http://www.opennet.ru/docs/RUS/iptables/#HOWARULEISBUILT и много другого, но толком ничего не понял. <br>Стоит задача: <br>1)настроить шлюз на debian<br>2)настроить проброс портов для всяких внешних приложений<br>3)настроить маршрутизацию внутри сети (если это нужно, потому как я не догоняю, как шлюз будет и будет ли вообще (все компы и точки доступа в локале подключены через тупой свитч) пересылать пакеты от одного локального клиента другому локальному клиенту)<br>4)настроить удаленный доступ к серваку по ssh<br>5)правила iptables поставить в автозагрузку<br>6)запретить определенные сайты для всех кроме определенных ip<br><br>Что я сделал, но ,к сожалению, нормально даже это не заработало:<br>1) ну дебиан7 я поставил, управление по ssh, обе сетевые настроены: eth1 это локалка,<br>eth0 это в интернет(статика). Настроил dhcp, с ним все как надо.<br>2)для блокировки сайтов поставил squid3, запускается с конфигом без ошибок, настроен как прозрачный, порт 3128<br>3)на этапе настроек iptables уперся в не понима https://www.opennet.ru/openforum/vsluhforumID10/5255.html#10 Tue, 10 Jun 2014 11:33:47 GMT &gt; iptables -A FORWARD -s 192.168.0.1-192.168.0.11 -d vk.com -j REJECT <br>&gt; собственно такое правило не принимается, потому как диапазон ip указан не правильно, <br>&gt; но мне не нужен диапазон вообще весь <br>&gt; могу ли я написать диапазон таким образом, чтобы ограничить ip 0.1-0.11 0.13-0.52 <br>&gt; 0.57-0.210 0.212-0.254?<br><br>каждый диапазон по отдельности через -m iprange (описание в man), только толку от этого -d vk.com не заблокирует все ip которые есть у них, вы бы прочитали весь топик по ссылке приведенную Андреем<br><br>&gt; и если могу, то приведите пример, пожалуйста, если вас не затруднит https://www.opennet.ru/openforum/vsluhforumID10/5255.html#9 Tue, 10 Jun 2014 10:22:31 GMT iptables -A FORWARD -s 192.168.0.1-192.168.0.11 -d vk.com -j REJECT<br><br>собственно такое правило не принимается, потому как диапазон ip указан не правильно, но мне не нужен диапазон вообще весь<br><br>могу ли я написать диапазон таким образом, чтобы ограничить ip 0.1-0.11 0.13-0.52 0.57-0.210 0.212-0.254?<br><br>и если могу, то приведите пример, пожалуйста, если вас не затруднит<br> https://www.opennet.ru/openforum/vsluhforumID10/5255.html#8 Tue, 10 Jun 2014 06:00:04 GMT &gt; пожалуйста, подскажите еще одно <br>&gt; хочу заблокировать доступ к vk.com и youtube.com по ip для всех кроме <br>&gt; 5 человек со статикой, <br><br>http://www.opennet.ru/openforum/vsluhforumID10/3830.html#41<br>продолжение осмотра:<br>ggogle://блокировка вконтакте iptables site:opennet.ru<br>ssl-bump vk.com site:opennet.ru<br> https://www.opennet.ru/openforum/vsluhforumID10/5255.html#7 Tue, 10 Jun 2014 03:43:01 GMT пожалуйста, подскажите еще одно<br><br>хочу заблокировать доступ к vk.com и youtube.com по ip для всех кроме 5 человек со статикой, <br>хотел через сквид, а он вроде https не умеет фильтровать<br><br>собственно правила<br><br>iptables -A -s 192.168.0.53 -d vk.com --dport 443 -j ACCEPT <br>iptables -A -s 192.168.0.54 -d vk.com --dport 443 -j ACCEPT <br>iptables -A -s 192.168.0.55 -d vk.com --dport 443 -j ACCEPT <br>iptables -A -s 192.168.0.56 -d vk.com --dport 443 -j ACCEPT <br>iptables -A -s 192.168.0.12 -d vk.com --dport 443 -j ACCEPT <br>iptables -A -d vk.com --dport 443 -j DROP<br>это будет давать доступ к вк по 443 порту группе ip, а остальным закрывать? или последнее правило будет закрывать доступ потому что стоит последним, или пакет удовлетворяющий правилу выше не будет отброшен последним правилом и следовательно пройдет?<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5255.html#6 Fri, 06 Jun 2014 01:21:55 GMT спасибо огромное, вы мне очень помогли<br> https://www.opennet.ru/openforum/vsluhforumID10/5255.html#5 Thu, 05 Jun 2014 17:42:25 GMT &gt;[оверквотинг удален]<br>&gt; если не сложно, гляньте конфиг который получился в итоге, может что-то не <br>&gt; правильно <br>&gt; iptables -P FORWARD ACCEPT <br>&gt; iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source "внешний ip" <br>&gt; iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports <br>&gt; 3128 <br>&gt; iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4000 -j <br>&gt; DNAT --to-destination 192.168.0.77:3389 <br>&gt; iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT <br>&gt; будет ли это пропускать локальных пользователей на сайты через прокси на 3128<br><br>вы запрос клиента завернули на прокси, далее прокси отправит свой запрос, он пойдет через OUTPUT, ответ от сайта к прокси пойдет через INPUT если в них разрешено то что нужно для прохождения пакетов то ваши клиенты увидят странички, но это только для 80 порта, остальное от/к ним пойдет через FORWARD , SNAT<br><br>&gt; (с условием что прокси настроена правильно), будет ли работать проброс портов <br>&gt; 4000-&gt;3389 , и будут ли ответные пакеты пропускаться, или для них <br>&gt; еще https://www.opennet.ru/openforum/vsluhforumID10/5255.html#4 Thu, 05 Jun 2014 08:06:50 GMT еще раз спасибо<br>если не сложно, гляньте конфиг который получился в итоге, может что-то не правильно<br><br>iptables -P FORWARD ACCEPT<br>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source "внешний ip"<br>iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128<br>iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4000 -j DNAT --to-destination 192.168.0.77:3389<br>iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT<br><br>будет ли это пропускать локальных пользователей на сайты через прокси на 3128 (с условием что прокси настроена правильно), будет ли работать проброс портов 4000-&gt;3389 , и будут ли ответные пакеты пропускаться, или для них еще что-то нужно добавить?<br><br>или правило для ответных пакетов вида <br>iptables -A INPUT -i eth0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT<br>будет пропускать ответные пакеты?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5255.html#3 Wed, 04 Jun 2014 11:01:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; iptables -t nat -A PREROUTING -d "внешний ip" -p tcp -m tcp <br>&gt;&gt;&gt; --dport "внешний порт" -j DNAT --to-destination "локальный компьютер":"внутренний порт" <br>&gt;&gt;&gt; заработает ли оно и куда ставить все эти пробросы портов?<br>&gt;&gt; да если в таблице фильтров разрешено прохождение для этих пакетов и для <br>&gt;&gt; ответов <br>&gt; появился один вопрос: <br>&gt; правило такого вида будет разрешать пакетам из правила выше проходить, или я <br>&gt; что-то написал не так?<br>&gt; iptables -I FORWARD 1 -m multiport --dport "тут перечисляю через запятую все <br>&gt; проброшенные порты" -j ACCEPT <br><br>--dport 1024:65535, но -m multiport --dports 80,443 <br>синтаксис проверяйте по man iptables, по сравнению с Tutorial 1.1.19 он немного изменился, но общее представление осталось тем же<br>И ответные пакеты разрешите.<br> https://www.opennet.ru/openforum/vsluhforumID10/5255.html#2 Wed, 04 Jun 2014 10:30:33 GMT спасибо огромное за помощь<br> <br>&gt; при проблемах с mtu, если проблем нет то не нужно его вставлять, <br>&gt; ну и логичней было бы -A, а не -I <br>&gt;&gt; хочу добавить проброс портов правилом <br>&gt;&gt; iptables -t nat -A PREROUTING -d "внешний ip" -p tcp -m tcp <br>&gt;&gt; --dport "внешний порт" -j DNAT --to-destination "локальный компьютер":"внутренний порт" <br>&gt;&gt; заработает ли оно и куда ставить все эти пробросы портов?<br>&gt; да если в таблице фильтров разрешено прохождение для этих пакетов и для <br>&gt; ответов <br><br>появился один вопрос: <br>правило такого вида будет разрешать пакетам из правила выше проходить, или я что-то написал не так? <br>iptables -I FORWARD 1 -m multiport --dport "тут перечисляю через запятую все проброшенные порты" -j ACCEPT<br>