forum.opennet.ru - "настройка файрвола. iptables" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"настройка файрвола. iptables"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"настройка файрвола. iptables"	+/–
Сообщение от sasku (ok) on 17-Ноя-12, 01:12
есть задача: необходимо для всех пользователей сети при выходе в инет делать редирект на страничку с требованиями для выхода в инет, а для некоторых (IP) пускать в инет без проблем. для всех - понятно, это и будет последнее правило: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80 а для избранных что писать ? так : iptables -t nat -I PREROUTING -p tcp -s 192.168.1.22 --dport 80 -j ACCEPT
Ответить \| Правка \| Cообщить модератору

Оглавление

настройка файрвола. iptables, shadow_alone, 04:05 , 17-Ноя-12, (1)

настройка файрвола. iptables, sasku, 12:12 , 17-Ноя-12, (2)

настройка файрвола. iptables, LSTemp, 03:23 , 20-Ноя-12, (3)

настройка файрвола. iptables, sasku, 12:52 , 20-Ноя-12, (4)

настройка файрвола. iptables, LSTemp, 05:26 , 22-Ноя-12, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "настройка файрвола. iptables" +/–

Сообщение от shadow_alone (ok) on 17-Ноя-12, 04:05

> для всех - понятно, это и будет последнее правило:
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.1.1:80
> а для избранных что писать ? так :
> iptables -t nat -I PREROUTING -p tcp -s 192.168.1.22 --dport 80 -j
> ACCEPT
разделить маской клиентов. Например кому положено ходить чтоб получали ip от 2 до 15, все остальные всё остальное. или руками ip прописать кому положено, но лучше привязку по маку в dhcpd.conf
а потом прописать правила:
iptables -t nat -A PREROUTING -s 192.168.1.128/25 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
iptables -t nat -A PREROUTING -s 192.168.1.64/26 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
iptables -t nat -A PREROUTING -s 192.168.1.32/27 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
iptables -t nat -A PREROUTING -s 192.168.1.16/28 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80

либо использовать ipset
У Вас останеться сеть 192.168.1.0/28 в которую должны входить избранные
либо наоборот
iptables -t nat -A PREROUTING -s !192.168.1.0/28 -i ethX -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
одним правилом
либо использовать ipset

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "настройка файрвола. iptables" +/–

Сообщение от sasku (ok) on 17-Ноя-12, 12:12

>> для всех - понятно, это и будет последнее правило:
>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
>> 192.168.1.1:80
>> а для избранных что писать ? так :
>> iptables -t nat -I PREROUTING -p tcp -s 192.168.1.22 --dport 80 -j
>> ACCEPT
> разделить маской клиентов. Например кому положено ходить чтоб получали ip от 2
> до 15, все остальные всё остальное. или руками ip прописать кому
> положено, но лучше привязку по маку в dhcpd.conf
> а потом прописать правила:
хорошо бы - но не годится
задача состоит как раз в том, чтобы для всех редирект, а для избранных - интернет
Добавил:
связка
iptables -A PREROUTING -t nat -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.1:80
iptables -I PREROUTING -t nat -p tcp -s 192.168.1.22 --dport 80 -j ACCEPT
работает отлично
спасибо :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "настройка файрвола. iptables" +/–

Сообщение от LSTemp (ok) on 20-Ноя-12, 03:23

> есть задача: необходимо для всех пользователей сети при выходе в инет делать
> редирект на страничку с требованиями для выхода в инет, а для
> некоторых (IP) пускать в инет без проблем.
> для всех - понятно, это и будет последнее правило:
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.1.1:80
> а для избранных что писать ? так :
> iptables -t nat -I PREROUTING -p tcp -s 192.168.1.22 --dport 80 -j
> ACCEPT
1) одно правило в iptables для всех - редирект всех запросов разрешения имен на свой ДНС
2) в своем ДНС настроить acl и view
так правильней будет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "настройка файрвола. iptables" +/–

Сообщение от sasku (ok) on 20-Ноя-12, 12:52

> 1) одно правило в iptables для всех - редирект всех запросов разрешения
> имен на свой ДНС
здесь понятно
> 2) в своем ДНС настроить acl и view
а тут поподробней можно ?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "настройка файрвола. iptables" +/–

Сообщение от LSTemp (ok) on 22-Ноя-12, 05:26

>> 1) одно правило в iptables для всех - редирект всех запросов разрешения
>> имен на свой ДНС
> здесь понятно
>> 2) в своем ДНС настроить acl и view
> а тут поподробней можно ?
для запросов с разных IP-адресов организется разное разрешение имен в адреса. Подробней читайте в доках bind. Ключевые слова даны: acl и view.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "настройка файрвола. iptables"	+/–
Сообщение от shadow_alone (ok) on 17-Ноя-12, 04:05
> для всех - понятно, это и будет последнее правило: > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination > 192.168.1.1:80 > а для избранных что писать ? так : > iptables -t nat -I PREROUTING -p tcp -s 192.168.1.22 --dport 80 -j > ACCEPT разделить маской клиентов. Например кому положено ходить чтоб получали ip от 2 до 15, все остальные всё остальное. или руками ip прописать кому положено, но лучше привязку по маку в dhcpd.conf а потом прописать правила: iptables -t nat -A PREROUTING -s 192.168.1.128/25 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80 iptables -t nat -A PREROUTING -s 192.168.1.64/26 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80 iptables -t nat -A PREROUTING -s 192.168.1.32/27 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80 iptables -t nat -A PREROUTING -s 192.168.1.16/28 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80 либо использовать ipset У Вас останеться сеть 192.168.1.0/28 в которую должны входить избранные либо наоборот iptables -t nat -A PREROUTING -s !192.168.1.0/28 -i ethX -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80 одним правилом либо использовать ipset
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "настройка файрвола. iptables"	+/–
	Сообщение от sasku (ok) on 17-Ноя-12, 12:12
	>> для всех - понятно, это и будет последнее правило: >> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination >> 192.168.1.1:80 >> а для избранных что писать ? так : >> iptables -t nat -I PREROUTING -p tcp -s 192.168.1.22 --dport 80 -j >> ACCEPT > разделить маской клиентов. Например кому положено ходить чтоб получали ip от 2 > до 15, все остальные всё остальное. или руками ip прописать кому > положено, но лучше привязку по маку в dhcpd.conf > а потом прописать правила: хорошо бы - но не годится задача состоит как раз в том, чтобы для всех редирект, а для избранных - интернет Добавил: связка iptables -A PREROUTING -t nat -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.1:80 iptables -I PREROUTING -t nat -p tcp -s 192.168.1.22 --dport 80 -j ACCEPT работает отлично спасибо :)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "настройка файрвола. iptables"	+/–
Сообщение от LSTemp (ok) on 20-Ноя-12, 03:23
> есть задача: необходимо для всех пользователей сети при выходе в инет делать > редирект на страничку с требованиями для выхода в инет, а для > некоторых (IP) пускать в инет без проблем. > для всех - понятно, это и будет последнее правило: > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination > 192.168.1.1:80 > а для избранных что писать ? так : > iptables -t nat -I PREROUTING -p tcp -s 192.168.1.22 --dport 80 -j > ACCEPT 1) одно правило в iptables для всех - редирект всех запросов разрешения имен на свой ДНС 2) в своем ДНС настроить acl и view так правильней будет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "настройка файрвола. iptables"	+/–
	Сообщение от sasku (ok) on 20-Ноя-12, 12:52
	> 1) одно правило в iptables для всех - редирект всех запросов разрешения > имен на свой ДНС здесь понятно > 2) в своем ДНС настроить acl и view а тут поподробней можно ?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "настройка файрвола. iptables"	+/–
	Сообщение от LSTemp (ok) on 22-Ноя-12, 05:26
	>> 1) одно правило в iptables для всех - редирект всех запросов разрешения >> имен на свой ДНС > здесь понятно >> 2) в своем ДНС настроить acl и view > а тут поподробней можно ? для запросов с разных IP-адресов организется разное разрешение имен в адреса. Подробней читайте в доках bind. Ключевые слова даны: acl и view.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору