Bourne Napisano Październik 1, 2008 Zgłoszenie Share Napisano Październik 1, 2008 Witam, ostatnio zostałem skierowany w mojej firmie do zablokowania kilku stron na serwerze pewnej firmy, pomyślałem że najłatwiej będzie w iptables, jak pomyślałem tak zrobiłem, a problem w tym, że kiedy dodaje jakieś reguły do łańcucha input np. iptables -A INPUT -s 195.93.178.6 -j DROP to w sieci wewnętrznej ta strona dalej działa. Konfiguracja Iptables jaką zastałem na serwerze: *filter :INPUT ACCEPT [1535:358847] :FORWARD ACCEPT [40363:32213384] :OUTPUT ACCEPT [1548:733982] -A INPUT -i lo -j ACCEPT -A INPUT -s 80.239.159.4 -i eth1 -j DROP -A INPUT -s 195.93.178.6 -j DROP -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT -A FORWARD -i eth2 -p tcp -m tcp --dport 1000:65535 -j DROP -A FORWARD -i eth2 -p tcp -m udp --dport 1000:65535 -j DROP -A FORWARD -i eth2 -j ACCEPT -A OUTPUT -o lo -J ACCEPT COMMIT *nat :PREROUTING ACCEPT [671:39957] :POSTROUTING ACCEPT [35:3089] :OUTPUT ACCEPT [37:3635] -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.240 -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE -A POSTROUTING -s 192.168.10.0/255.255.255.0 -j MASQUERADE COMMIT Serwer ma 3 sieciówki, do eth1 podłączony jest DSL. I moje pytanie jeszcze raz, dlaczego nie moge poblokować tych stron? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
qmic Napisano Październik 1, 2008 Zgłoszenie Share Napisano Październik 1, 2008 INPUT i -s to połączenia przychodzące, ty potrzebujesz operować na OUTPUT (na interfejsie internetowymm) i jako cel ustawić (-d) to ip, albo INPUT na interfejsie wewnętrznym oraz celu i też jako cel (-d) to ip . Proste ? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Bourne Napisano Październik 2, 2008 Autor Zgłoszenie Share Napisano Październik 2, 2008 INPUT i -s to połączenia przychodzące, ty potrzebujesz operować na OUTPUT (na interfejsie internetowymm) i jako cel ustawić (-d) to ip, albo INPUT na interfejsie wewnętrznym oraz celu i też jako cel (-d) to ip . Proste ? Dzięki wielkie , tego też spróbuje, wczoraj spróbowałem operować na łancuchu FORWARD i też dało to takie rezultaty jakich oczekiwałem Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
qmic Napisano Październik 3, 2008 Zgłoszenie Share Napisano Październik 3, 2008 Dzięki wielkie , tego też spróbuje, wczoraj spróbowałem operować na łancuchu FORWARD i też dało to takie rezultaty jakich oczekiwałem Właściwie to lepiej zrobiłeś niż napisałem, zapomniałem w trakcie pisania że chodzi o NAT tak więc oczywiście na łańcuchu forward najlepiej jest operować. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się