Изпечатай

[Hapkoc]

smelkomar, аз така и не разбрах какво точно искаш да направиш...

Някой като напише http://www.abv.bg и да го препраща към web server от вътрешната мрежа или какво?

Ако е така не виждам какъв е проблема с 8080, просто добавяш още едно правило за този порт, както и за всеки друг, който искаш да филтрираш.

# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14
# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 8080 -j DNAT --to 213.145.104.14

М/у другото, не се обиждай, но, ако правилно съм разбрал въпроса ти, факта че сам не си могъл да стигнеш до този извод ми говори, че грам не си се помъчил да разбереш какво точно прави горната команда...

А, и принципно ip филтрите могат да филтрират портове, а не протоколи. Във всеки случай не и от приложно ниво.

[nitroX]

ами да попитам още нещо.
как може, и може ли изобщо да сложа на всеки eth* различен GateWay ?

Цитат (Hapkoc @ Фев. 03 2006,23:27)

smelkomar, аз така и не разбрах какво точно искаш да направиш... Някой като напише http://www.abv.bg и да го препраща към web server от вътрешната мрежа или какво? Ако е така не виждам какъв е проблема с 8080, просто добавяш още едно правило за този порт, както и за всеки друг, който искаш да филтрираш. # iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14 # iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 8080 -j DNAT --to 213.145.104.14 М/у другото, не се обиждай, но, ако правилно съм разбрал въпроса ти, факта че сам не си могъл да стигнеш до този извод ми говори, че грам не си се помъчил да разбереш какво точно прави горната команда... А, и принципно ip филтрите могат да филтрират портове, а не протоколи. Във всеки случай не и от приложно ниво.

Прочел съм... не схванах само кое да филтрирам хттп 80 порт или 53 днс там кво беше... удп. Така май всички заявки за какъвто и да е протокол отиват към избрания вътрешен или външен адрес. КАКВА Е КОМАНДАТА, понеже в другата тема за таблиците съм казал че работи. Между другото моля да бъдат обединени... ако е възможно.

[Hapkoc]

Прощавай ама другата тема не знам коя е и вероятно не я следя...

Кой порт трябва да се филтрира и по какъв протокол зависи само от това какво искаш да постигнеш. Филтрирането на порт 53 ще е почти равносилно на спиране на интернета към локалната мрежа.

HTTP не може да се филтрира с IP пакетен филтър. Можеш да филтрираш порт 80, обаче това не пречи да се достъпва HTTP услуга на друг порт.

Цитат

КАКВА Е КОМАНДАТА

Не викай де.

Ами аз пак не разбрах какво искаш да постигнеш.

Ако правиш DNAT с трафика на порт 80 към определен адрес мисля би следвало на този адрес да има прокси - това ли е целта? В противен случай по всяка вероятност заявките няма да бъдат обслужени. Или това е целта?

[vesselinkolev]

Цитат (nitroX @ Фев. 03 2006,23:47)

ами да попитам още нещо. как може, и може ли изобщо да сложа на всеки eth* различен GateWay ?

Да, може. Разгледай в netfilter/iptables за политиката ROUTE:

http://www.netfilter.org/patch-o-matic/pom-extra.html

Пример:

iptables -A POSTROUTING -t mangle -o eth2 -j ROUTE --gw w.x.y.z --continue

[smelkomar]

Всъщност това е целта, да... заявките към ДНС-а преди да бъдат изпращани към външни уеб-сървъри, да бъдат филтрирани и ако са спрени, да се дропват всички пакети от всякакъв тип (това не ми стана ясно между другото), само към 80 порт или 8080 да бъдат пренасочвани към вътрешен или външен уеб-сървър. Тоест хем нямат ICQ и други екстри, хем да бъдат с права единствено да отварят еди-кой си адрес. Просто не знам как да го формулирам... сори, сега навлизам в материята. Това, което за сега работи при мен, го схванах с 300 зора

[ktodorov]

А защо не пуснеш proxy примерно Squid и от него да ги правиш тези забрани за icq,  и всякакви такива?
Че има и много програми за статистика на логовете примерно Sarg  за Squid ...

Зада администрираш мрежа и интернет трафик, първо трябва да разбереш какво е мрежа, интернет и как те работят!

[smelkomar]

Но дори да е така, не пречи да питам... нали? Не се занимавам професионално с Линукс. А и като съм прекарал повече време в "прозорците"...