- Блокировка сайта,
 Puk, 13:27 , 24-Июн-11 (1)>[оверквотинг удален]
> нужно заблокировать парочку сайтов.
> Gateway CentOS с выходом в интернет через VPN-роутер.
> Юзеры с локалки подключаються через VPN.
> Я пробовал так :
> iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport
> 80 -j DROP
> В итоге я с гейтвея зайти на сайт не могу , а
> юзеры могут.
> Что не так то?
> Заранее спасибо В iptables я не силён...
А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
- Блокировка сайта, pupkin petya, 13:41 , 24-Июн-11 (2)
> В iptables я не силён...
> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать? Да , получают с этой сети.
Спасибо , попробую.
- Блокировка сайта, pupkin petya, 14:11 , 24-Июн-11 (3)
>> В iptables я не силён...
>> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
>> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
> Да , получают с этой сети.
> Спасибо , попробую.Не помогает.
Пробовал
iptables -I OUTPUT -d *site-ip* -j DROP Всё так-же гейтвей не заходит , а клиенты да. Может как то по другому запретить доступ?
- Блокировка сайта, skeletor, 14:15 , 24-Июн-11 (4)
Попробуй так.
iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP
Кстати, дай вывод сюда
iptables -L
- Блокировка сайта, pupkin petya, 14:19 , 24-Июн-11 (5)
> Попробуй так.
> iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j
> DROP
> Кстати, дай вывод сюда
> iptables -L Всё так же *sad* Вывод
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- 192.168.71.0/24 rbfe-zibb1.bos3.fastsearch.net tcp dpt:http Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere rbfe-zibb1.bos3.fastsearch.net
DROP all -- anywhere 66.231.181.201
[root@asu SOFT]#
- Блокировка сайта, Дядя_Федор, 14:42 , 24-Июн-11 (6)
Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже третья подсказка.
- Блокировка сайта, pupkin petya, 14:53 , 24-Июн-11 (7)
> Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят?
> И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка.
> Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте
> изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже
> третья подсказка.Спасибо за ответ , но можно по подробней. Вот новое правило и новый фейл
[root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP
iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[root@asu SOFT]#
- Блокировка сайта, pupkin petya, 14:59 , 24-Июн-11 (8)
И почему тогда не сработало правило на весь исходящий трафик?
iptables -I OUTPUT -d *site_ip* -j DROP
- Блокировка сайта, Дядя_Федор, 15:39 , 24-Июн-11 (11)
> И почему тогда не сработало правило на весь исходящий трафик?
> iptables -I OUTPUT -d *site_ip* -j DROP Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.
- Блокировка сайта, Andrey Mitrofanov, 15:00 , 24-Июн-11 (9)
*>> а nat!
>-t NAT
> can't initialize iptables table `NAT': Table does not exist - Блокировка сайта, Дядя_Федор, 15:37 , 24-Июн-11 (10)
> [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j
> DROP
> iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do
> you need to insmod?)
> Perhaps iptables or your kernel needs to be upgraded.
> [root@asu SOFT]# Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)
- Блокировка сайта, pupkin petya, 16:03 , 24-Июн-11 (12)
[root@asu SOFT]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
DNAT udp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xa
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xc Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@asu SOFT]#
А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?
- Блокировка сайта, Andrey Mitrofanov, 16:13 , 24-Июн-11 (13)
> DNAT
> to:172.16.0.238:3128 +<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид.
- Блокировка сайта, Дядя_Федор, 17:27 , 24-Июн-11 (14)
> +<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид. Да ужжж. :) Опять же - еще одна сетка вдруг вылезла.
- Блокировка сайта, Дядя_Федор, 17:30 , 24-Июн-11 (15)
> DNAT tcp -- 172.16.0.0/24
> !172.16.0.238
> multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
> DNAT udp -- 172.16.0.0/24
> !172.16.0.238
> multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.
|
Версия для распечатки
Блокировка сайта, 
