URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4878
[ Назад ]

Исходное сообщение
"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 13:19

Здрастувте,
нужно заблокировать парочку сайтов.
Gateway CentOS с выходом в интернет через VPN-роутер.
Юзеры с локалки подключаються через VPN.
Я пробовал так :
iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP
В итоге я с гейтвея зайти на сайт не могу , а юзеры могут.
Что не так то?
Заранее спасибо

Содержание

Блокировка сайта,Puk, 13:27 , 24-Июн-11
- Блокировка сайта,pupkin petya, 13:41 , 24-Июн-11
  - Блокировка сайта,pupkin petya, 14:11 , 24-Июн-11
    - Блокировка сайта,skeletor, 14:15 , 24-Июн-11
      - Блокировка сайта,pupkin petya, 14:19 , 24-Июн-11
        
        Блокировка сайта,Дядя_Федор, 14:42 , 24-Июн-11
        
        Блокировка сайта,pupkin petya, 14:53 , 24-Июн-11
        
        Блокировка сайта,pupkin petya, 14:59 , 24-Июн-11
        
        Блокировка сайта,Дядя_Федор, 15:39 , 24-Июн-11
        
        Блокировка сайта,Andrey Mitrofanov, 15:00 , 24-Июн-11
        Блокировка сайта,Дядя_Федор, 15:37 , 24-Июн-11
        
        Блокировка сайта,pupkin petya, 16:03 , 24-Июн-11
        
        Блокировка сайта,Andrey Mitrofanov, 16:13 , 24-Июн-11
        
        Блокировка сайта,Дядя_Федор, 17:27 , 24-Июн-11
        
        Блокировка сайта,Дядя_Федор, 17:30 , 24-Июн-11

Сообщения в этом обсуждении

"Блокировка сайта"
Отправлено Puk , 24-Июн-11 13:27

>[оверквотинг удален]
> нужно заблокировать парочку сайтов.
> Gateway CentOS с выходом в интернет через VPN-роутер.
> Юзеры с локалки подключаються через VPN.
> Я пробовал так :
> iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport
> 80 -j DROP
> В итоге я с гейтвея зайти на сайт не могу , а
> юзеры могут.
> Что не так то?
> Заранее спасибо
В iptables я не силён...
А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 13:41

> В iptables я не силён...
> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
Да , получают с этой сети.
Спасибо , попробую.

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:11

>> В iptables я не силён...
>> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
>> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
> Да , получают с этой сети.
> Спасибо , попробую.
Не помогает.
Пробовал
iptables -I OUTPUT -d *site-ip* -j DROP
Всё так-же гейтвей не заходит , а клиенты да.
Может как то по другому запретить доступ?

"Блокировка сайта"
Отправлено skeletor , 24-Июн-11 14:15

Попробуй так.
iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP
Кстати, дай вывод сюда
iptables -L

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:19

> Попробуй так.
> iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j
> DROP
> Кстати, дай вывод сюда
> iptables -L
Всё так же *sad*
Вывод
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  192.168.71.0/24      rbfe-zibb1.bos3.fastsearch.net tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             rbfe-zibb1.bos3.fastsearch.net
DROP       all  --  anywhere             66.231.181.201
[root@asu SOFT]#

"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 14:42

Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже третья подсказка.

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:53

> Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят?
> И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка.
> Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте
> изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже
> третья подсказка.
Спасибо за ответ , но можно по подробней.
Вот новое правило и новый фейл

[root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP
iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[root@asu SOFT]#

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 14:59

И почему тогда не сработало правило на весь исходящий трафик?
iptables -I OUTPUT -d *site_ip* -j DROP

"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 15:39

> И почему тогда не сработало правило на весь исходящий трафик?
> iptables -I OUTPUT -d *site_ip* -j DROP
Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.

"Блокировка сайта"
Отправлено Andrey Mitrofanov , 24-Июн-11 15:00

*>> а nat!
>-t NAT
> can't initialize iptables table `NAT': Table does not exist

"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 15:37

> [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j
> DROP
> iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do
> you need to insmod?)
> Perhaps iptables or your kernel needs to be upgraded.
> [root@asu SOFT]#
Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)

"Блокировка сайта"
Отправлено pupkin petya , 24-Июн-11 16:03

[root@asu SOFT]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
DNAT       udp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xa
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xc
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@asu SOFT]#
А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?

"Блокировка сайта"
Отправлено Andrey Mitrofanov , 24-Июн-11 16:13

> DNAT
> to:172.16.0.238:3128
+<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид.

"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 17:27

> +<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид.
Да ужжж. :) Опять же - еще одна сетка вдруг вылезла.

"Блокировка сайта"
Отправлено Дядя_Федор , 24-Июн-11 17:30

> DNAT       tcp  --  172.16.0.0/24
>       !172.16.0.238
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
> DNAT       udp  --  172.16.0.0/24
>       !172.16.0.238
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.