uForum.uz

uForum.uz (https://uforum.uz/index.php)
-   OpenSource (https://uforum.uz/forumdisplay.php?f=158)
-   -   Need help - IPtables (https://uforum.uz/showthread.php?t=9433)

Максим Ахмедов 14.01.2010 21:34

Цитата:

Сообщение от Timur Rasulov (Сообщение 342288)
Цитата:

Сообщение от Styler (Сообщение 342278)
вопрос в следующем, как с помощью подобной строчки дать полный доступ юзеру, но только на один или два конкретных хоста?

iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d [целевой хост] -j MASQUERADE

примного благодарен, а можно ли там прописывать доменные имена хостов?

Dilshod Bobokulov 15.01.2010 10:57

eth0:0
 
Цитата:

Сообщение от Alexander Abgaryan (Сообщение 342380)
Хы, кто-то ещё помнит NiTraf =)
Кстати в бета версии нитрафа я как раз использую связку улог+иптаблес - штука хорошая.

Александр, а на саб.интерфейсах можно слушать трафик для подсчета или все таки нужно указать физический интерфейс?

Dilshod Bobokulov 15.01.2010 11:10

метод шамана
 
Цитата:

Сообщение от Styler (Сообщение 343043)
примного благодарен, а можно ли там прописывать доменные имена хостов?

если для просмотра и анализа, можно так:
Код:

iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d [целевой хост] -m comment --comment "domennoe_imya_hosta" -j MASQUERADE

Максим Ахмедов 15.01.2010 17:32

первый вариант (работает, но тут только ip)
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d 213.180.204.8 -j MASQUERADE
второй вариант (работает, но он полагаю не целесообразен, доступ возможен только к 213.180.204.8)
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d 213.180.204.8 -m comment --comment "ya.ru" -j MASQUERADE
третий вариант (не работает)
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d -m comment --comment "ya.ru" -j MASQUERADE

с одним доменом ассоциировано несколько ip адресов как например ya.ru, так как же разрешить доступ только по доменному имени

German Stimban 15.01.2010 17:51

Цитата:

Сообщение от Styler (Сообщение 343654)
с одним доменом ассоциировано несколько ip адресов как например ya.ru, так как же разрешить доступ только по доменному имени

Поставь транспарентно squid и не мучайся

Dilshod Bobokulov 15.01.2010 18:12

Цитата:

Сообщение от Styler (Сообщение 343654)
с одним доменом ассоциировано несколько ip адресов как например ya.ru, так как же разрешить доступ только по доменному имени

Можно написать bash скрипт, который использует 2 внешних файла, в 1ом список IP адресов из локальной сети, 2ом список доменов для которых нужен доступ.

Максим Ахмедов 15.01.2010 21:08

Цитата:

Поставь транспарентно squid и не мучайся
к сожалению этот вариант не устраивает спасибо Герман
Цитата:

Можно написать bash скрипт, который использует 2 внешних файла, в 1ом список IP адресов из локальной сети, 2ом список доменов для которых нужен доступ.
если вас не затруднит, с этого место попрошу вас по подробнее

German Stimban 15.01.2010 21:17

Styler, ОК. Корпоративный DNS-сервер есть?

Alexander Abgaryan 15.01.2010 21:20

Цитата:

Сообщение от Dilshod Bobokulov (Сообщение 343246)
Александр, а на саб.интерфейсах можно слушать трафик для подсчета или все таки нужно указать физический интерфейс?

Я уже слабо помню как она работает, но вроде в настройках net-acct можно было указать интерфейсы для прослушивания. Но вообще я советую заюзать связку ulogd-mysql + iptables + самописная морда на пхп.

Alexander Abgaryan 15.01.2010 21:24

Цитата:

Сообщение от Styler (Сообщение 343043)
примного благодарен, а можно ли там прописывать доменные имена хостов?

Можно, при применении правила имена резолвятся и добавляется столько правил, сколько ип адресов соответствует доменному имени.
Простой пример:
iptables -A INPUT -s mail.ru -j DROP

результат

DROP all -- 217.69.128.43 0.0.0.0/0
DROP all -- 217.69.128.44 0.0.0.0/0
DROP all -- 217.69.128.41 0.0.0.0/0
DROP all -- 217.69.128.42 0.0.0.0/0


Текущее время: 20:15. Часовой пояс GMT +5.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
OOO «Единый интегратор UZINFOCOM»