|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Spawn (superneo (a) mail__dot__bg) |
Дата: 11/27/2004 |
Здравейте..
Искам да попитам как мога да забраня на дадено IP от
локалната мрежа, да получава интернет от сървъра???
Сървъра е на SuSE
9.1 ако това е важно. Благодаря предварително..:)
|
Отговор #1 |
От: MarsBeta (marsbeta__at__primasoft__dot__bg) |
Дата: 11/27/2004 |
Подаденото инфо е малко... Но предполагам че нещата са
базирани на IPTABLES и ако е така ... -0->
### eth1 = EXT_INTERFACE
### Taka puskash net na 1 IP .. ima i oshte opcii no .. za
#tex cheti v man iptables ili na www-to
echo "Start forward 192.168.0.х";
/usr/sbin/iptables -A FORWARD -i eth1 -d 192.168.0.х -j
ACCEPT
/usr/sbin/iptables -A FORWARD -s 192.168.0.х -o eth1 -j
ACCEPT
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.х -d
0.0.0.0/0 -j MASQUERADE
### ako taka sa ti opisani pravilata .. to qsna #rabotata ))
prosto nqma da opishesh zelanoto IP ))
#a ako e napraveno taka:
### eth1 = EXT_INTERFACE
### Taka puskash net na 1 IP .. ima i oshte opcii no .. za
#tex cheti v man iptables ili na www-to
echo "Start forward 192.168.0.х";
/usr/sbin/iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -j
ACCEPT
/usr/sbin/iptables -A FORWARD -s 192.168.0.0/24 -o eth1 -j
ACCEPT
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24
-d 0.0.0.0/0 -j MASQUERADE
### toest e razreshena cqlata mreza .. togava pred tezi
#redove slozi :
### eth1 = EXT_INTERFACE
### Taka puskash net na 1 IP .. ima i oshte opcii no .. za
#tex cheti v man iptables ili na www-to
echo "Start forward 192.168.0.х";
/usr/sbin/iptables -A FORWARD -i eth1 -d 192.168.0.х -j
DENY
/usr/sbin/iptables -A FORWARD -s 192.168.0.х -o eth1 -j
DENY
## na zelanoto IP
s tova ne si reshavash problema .. choveka moze da si smeni
IP-to .. i togava .. ))) efekt <= 0;
P.S. opishi si gi po IP i varzi IP-to s MAC adres na LAN na
clienta.. PRIMER:
## zapis za edno IP
iptables -A FORWARD -i eth1 -d 192.168.0.x-j ACCEPT
iptables -A FORWARD -s 192.168.0.x -o eth1 -m mac
--mac-source 4C:00:10:3C:1A:1A -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.x -d 0.0.0.0/0
-j MASQUERADE
### krai na zapis za IP 192.168.0.x
|
Отговор #3 |
От: n (nothing (a) pestera__dot__org) |
Дата: 11/28/2004 |
arp -s 192.168.1.12 ff:ff:ff:ff:ff:ff
ИП-то е това наклиента, а това е МАК-адрес, който ако не е
този на лан-картата на клиента, то той няма да има никакъв
достъп до сървъра.
Маха се с
arp -d 192.168.1.12
|
Отговор #4 |
От: MadMax3 |
Дата: 11/30/2004 |
Аз съм го решил въпроса с едно прокси - Squid. От него даваш
достъп на определени ИП адреси от мрежата, спестяваш трафик
по нета, имаш поглед въру нещата и т.н. Може да го използвш
и за ограничаване на скоростта - примерно само на големи
файлове или на определен вид файлове - АВИ, МП3 и каквото си
искаш. Пише го в конфига. Не съм сигурен, но мисля, че можеш
да даваш достъп и по МАС адреси.
|
<< FreeBSD traffic shapingt (0
) | Влиае ли на програмите (4
) >>
|
|
|
|
|