Need help - IPtables - Страница 3

Максим Ахмедов · 14.01.2010 21:34

Цитата:

Сообщение от Timur Rasulov

Цитата:

Сообщение от Styler

вопрос в следующем, как с помощью подобной строчки дать полный доступ юзеру, но только на один или два конкретных хоста?

iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d [целевой хост] -j MASQUERADE

примного благодарен, а можно ли там прописывать доменные имена хостов?

Dilshod Bobokulov · 15.01.2010 10:57

Цитата:

Сообщение от Alexander Abgaryan

Хы, кто-то ещё помнит NiTraf =)
Кстати в бета версии нитрафа я как раз использую связку улог+иптаблес - штука хорошая.

Александр, а на саб.интерфейсах можно слушать трафик для подсчета или все таки нужно указать физический интерфейс?

Dilshod Bobokulov · 15.01.2010 11:10

Цитата:

Сообщение от Styler

примного благодарен, а можно ли там прописывать доменные имена хостов?

если для просмотра и анализа, можно так:

Код:

iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d [целевой хост] -m comment --comment "domennoe_imya_hosta" -j MASQUERADE

Максим Ахмедов · 15.01.2010 17:32

первый вариант (работает, но тут только ip)
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d 213.180.204.8 -j MASQUERADE
второй вариант (работает, но он полагаю не целесообразен, доступ возможен только к 213.180.204.8)
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d 213.180.204.8 -m comment --comment "ya.ru" -j MASQUERADE
третий вариант (не работает)
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d -m comment --comment "ya.ru" -j MASQUERADE

с одним доменом ассоциировано несколько ip адресов как например ya.ru, так как же разрешить доступ только по доменному имени

German Stimban · 15.01.2010 17:51

Цитата:

Сообщение от Styler

с одним доменом ассоциировано несколько ip адресов как например ya.ru, так как же разрешить доступ только по доменному имени

Поставь транспарентно squid и не мучайся

Dilshod Bobokulov · 15.01.2010 18:12

Цитата:

Сообщение от Styler

с одним доменом ассоциировано несколько ip адресов как например ya.ru, так как же разрешить доступ только по доменному имени

Можно написать bash скрипт, который использует 2 внешних файла, в 1ом список IP адресов из локальной сети, 2ом список доменов для которых нужен доступ.

Максим Ахмедов · 15.01.2010 21:08

Цитата:

Поставь транспарентно squid и не мучайся

к сожалению этот вариант не устраивает спасибо Герман

Цитата:

Можно написать bash скрипт, который использует 2 внешних файла, в 1ом список IP адресов из локальной сети, 2ом список доменов для которых нужен доступ.

если вас не затруднит, с этого место попрошу вас по подробнее

German Stimban · 15.01.2010 21:17

Styler, ОК. Корпоративный DNS-сервер есть?

Alexander Abgaryan · 15.01.2010 21:20

Цитата:

Сообщение от Dilshod Bobokulov

Александр, а на саб.интерфейсах можно слушать трафик для подсчета или все таки нужно указать физический интерфейс?

Я уже слабо помню как она работает, но вроде в настройках net-acct можно было указать интерфейсы для прослушивания. Но вообще я советую заюзать связку ulogd-mysql + iptables + самописная морда на пхп.

Alexander Abgaryan · 15.01.2010 21:24

Цитата:

Сообщение от Styler

примного благодарен, а можно ли там прописывать доменные имена хостов?

Можно, при применении правила имена резолвятся и добавляется столько правил, сколько ип адресов соответствует доменному имени.
Простой пример:
iptables -A INPUT -s mail.ru -j DROP

результат

DROP all -- 217.69.128.43 0.0.0.0/0
DROP all -- 217.69.128.44 0.0.0.0/0
DROP all -- 217.69.128.41 0.0.0.0/0
DROP all -- 217.69.128.42 0.0.0.0/0

Знаете ли Вы, что ...
	...инструкция по установке аватара описана в Правилах форума.
	<< Предыдущий совет - Случайный совет - Следующий совет >>

Реклама и уведомления
<a href='http://adv.uzinfocom.uz/www/delivery/ck.php?n=a528de92&cb=INSERT_RANDOM_NUMBER_HERE' target='_blank'><img src='http://adv.uzinfocom.uz/www/delivery/avw.php?zoneid=65&cb=INSERT_RANDOM_NUMBER_HERE&n=a528de92&ct0=INSERT_CLICKURL_HERE' border='0' alt='' /></a>