URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 1506
[ Назад ]

Исходное сообщение
"Не пускать в инет выборочных пользователей из локальной сети"
Отправлено Victor , 08-Ноя-03 13:56

Такой вопрос: Как ограничить доступ пользователям в инет через Squid или кокую либо другую софтину так, чтобы для всей сети доступ был, а на отдельные сетевые адреса нет. У меня чего-то не получилось с такими параметрами:
acl oll_netw src 192.168.0.0/255.255.255.0
http_access allow oll_netw
http access deny all
acl deny_hosts 192.168.0.1/32
http_access deny deny_hosts
Может попробовать по MAC адресу?
И аналогичный вопрос про почту. Имеется qmail. Почта нормально настроена, слушается через tcpserver. Можно ли ограничить исходящую корреспонденцию в инет по Ip адресу или еще как нибудь, но локально чтобы почта ходила?
Заранее благодарен

Содержание

Не пускать в инет выборочных пользователей из локальной сети,junior, 16:40 , 08-Ноя-03
- Не пускать в инет выборочных пользователей из локальной сети,Victor, 17:11 , 08-Ноя-03
  - Не пускать в инет выборочных пользователей из локальной сети,junior, 11:42 , 09-Ноя-03

Сообщения в этом обсуждении

"Не пускать в инет выборочных пользователей из локальной сети"
Отправлено junior , 08-Ноя-03 16:40

Важен порядок написания правил
>acl deny_hosts 192.168.0.1/32
>http_access deny deny_hosts
>acl oll_netw src 192.168.0.0/255.255.255.0
>http_access allow oll_netw
>http access deny all
Вот так должно работать
>Может попробовать по MAC адресу?
Тот же принцип
>И аналогичный вопрос про почту. Имеется qmail. Почта нормально настроена, слушается через
>tcpserver. Можно ли ограничить исходящую корреспонденцию в инет по Ip адресу
>или еще как нибудь, но локально чтобы почта ходила?
Конкретнее.
Блокировать отправку почты с ОПРЕДЕЛЁННОГО IP или доставку по ОПРЕДЕЛЁННОМУ адресу?

"Не пускать в инет выборочных пользователей из локальной сети"
Отправлено Victor , 08-Ноя-03 17:11

>Конкретнее.
>Блокировать отправку почты с ОПРЕДЕЛЁННОГО IP или доставку по ОПРЕДЕЛЁННОМУ адресу?
Вообще важнее отправку с определенного адреса, так как он все равно почту не получит, не будь он прописан в procmail.

"Не пускать в инет выборочных пользователей из локальной сети"
Отправлено junior , 09-Ноя-03 11:42

>Вообще важнее отправку с определенного адреса, так как он все равно почту
>не получит, не будь он прописан в procmail.
Вот ты сам и ответил почти на свой вопрос.
Не знаю как реализуется это в qmail, но в postfix и sendmail усть файл access в котором прописаны те, кому позволено отправлять почту через этот сервер, потом на основе данных этого файла делается hash база, перезапустив почтовый сервер он сам считает оттуда данные и запретит всем, кто не прописан там отправлять почту. Всё.
Другое решение, менее правильное, но столь же действенное - запретить коннект на 25 порт всем ненужным пользователям твоей сети.
iptables -A INPUT -p tcp -s user_ip -d smtp_server_ip --dport 25 -j REJECT
Вот таким образом приблизительно. Потому как использовать почту вообще нельзя (да и ненужно), просто разреши этим пользователям соединения во вне на почтовые сервера.
Я, например, столкнулся с ситуацией совсем наоборот, когда не хотели использовать локальный почтовик, для получения/отправки писем, опасаясь, что я вдруг захочу почитать корреспонденцию (можно подумать, что если бы я это хотел, то не смог бы отслеживать и контролировать проходящий трафик), так вот, мне надоело получать уведомления от провайдера об отправке вирусёных писем от таких пользователей (локальные антивирусы они даже обновлять ленятся), а на почтовике у меня висит DrWeb отсекающий вирусы, с обновлением вирусных баз каждые 4 часа. Я просто взял и завернул исходящий почтовый трафик во вне на локальный :))))
Выгода - письма уходят быстрее, я уверен, что от меня уже не уйдёт ни одна зараза, ну и поощрение начальства за "секретные настройки, которые ускоряют почтовый интернет" :)))))
iptables -t nat -A PREROUTING -p tcp -s user_ip --dport 25 -j REDIRECT --to-ports 25
Се ля ви. :)