Автор Тема: iptables ...  (Прочетена 3642 пъти)

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
iptables ...
« Отговор #15 -: Feb 03, 2006, 22:27 »
smelkomar, аз така и не разбрах какво точно искаш да направиш...

Някой като напише http://www.abv.bg и да го препраща към web server от вътрешната мрежа или какво?

Ако е така не виждам какъв е проблема с 8080, просто добавяш още едно правило за този порт, както и за всеки друг, който искаш да филтрираш.

# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14
# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 8080 -j DNAT --to 213.145.104.14

М/у другото, не се обиждай, но, ако правилно съм разбрал въпроса ти, факта че сам не си могъл да стигнеш до този извод ми говори, че грам не си се помъчил да разбереш какво точно прави горната команда...

А, и принципно ip филтрите могат да филтрират портове, а не протоколи. Във всеки случай не и от приложно ниво.
Активен

nitroX

  • Напреднали
  • *****
  • Публикации: 18
    • Профил
iptables ...
« Отговор #16 -: Feb 03, 2006, 22:47 »
ами да попитам още нещо.
как може, и може ли изобщо да сложа на всеки eth* различен GateWay ?
Активен

  • Гост
iptables ...
« Отговор #17 -: Feb 03, 2006, 23:12 »
Цитат (Hapkoc @ Фев. 03 2006,23:27)
smelkomar, аз така и не разбрах какво точно искаш да направиш...

Някой като напише http://www.abv.bg и да го препраща към web server от вътрешната мрежа или какво?

Ако е така не виждам какъв е проблема с 8080, просто добавяш още едно правило за този порт, както и за всеки друг, който искаш да филтрираш.

# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14
# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 8080 -j DNAT --to 213.145.104.14

М/у другото, не се обиждай, но, ако правилно съм разбрал въпроса ти, факта че сам не си могъл да стигнеш до този извод ми говори, че грам не си се помъчил да разбереш какво точно прави горната команда...

А, и принципно ip филтрите могат да филтрират портове, а не протоколи. Във всеки случай не и от приложно ниво.

Прочел съм... не схванах само кое да филтрирам хттп 80 порт или 53 днс там кво беше... удп. Така май всички заявки за какъвто и да е протокол отиват към избрания вътрешен или външен адрес. КАКВА Е КОМАНДАТА, понеже в другата тема за таблиците съм казал че работи. Между другото моля да бъдат обединени... ако е възможно.
Активен

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
iptables ...
« Отговор #18 -: Feb 04, 2006, 01:41 »
Прощавай ама другата тема не знам коя е и вероятно не я следя...

Кой порт трябва да се филтрира и по какъв протокол зависи само от това какво искаш да постигнеш. Филтрирането на порт 53 ще е почти равносилно на спиране на интернета към локалната мрежа.

HTTP не може да се филтрира с IP пакетен филтър. Можеш да филтрираш порт 80, обаче това не пречи да се достъпва HTTP услуга на друг порт.

Цитат
КАКВА Е КОМАНДАТА

Не викай де.

Ами аз пак не разбрах какво искаш да постигнеш.

Ако правиш DNAT с трафика на порт 80 към определен адрес мисля би следвало на този адрес да има прокси - това ли е целта? В противен случай по всяка вероятност заявките няма да бъдат обслужени. Или това е целта?
Активен

vesselinkolev

  • Напреднали
  • *****
  • Публикации: 93
    • Профил
iptables ...
« Отговор #19 -: Feb 04, 2006, 09:37 »
Цитат (nitroX @ Фев. 03 2006,23:47)
ами да попитам още нещо.
как може, и може ли изобщо да сложа на всеки eth* различен GateWay ?

Да, може. Разгледай в netfilter/iptables за политиката ROUTE:

http://www.netfilter.org/patch-o-matic/pom-extra.html

Пример:

iptables -A POSTROUTING -t mangle -o eth2 -j ROUTE --gw w.x.y.z --continue
Активен

smelkomar

  • Напреднали
  • *****
  • Публикации: 429
    • Профил
iptables ...
« Отговор #20 -: Feb 06, 2006, 17:54 »
Всъщност това е целта, да... заявките към ДНС-а преди да бъдат изпращани към външни уеб-сървъри, да бъдат филтрирани и ако са спрени, да се дропват всички пакети от всякакъв тип (това не ми стана ясно между другото), само към 80 порт или 8080 да бъдат пренасочвани към вътрешен или външен уеб-сървър. Тоест хем нямат ICQ и други екстри, хем да бъдат с права единствено да отварят еди-кой си адрес. Просто не знам как да го формулирам... сори, сега навлизам в материята. Това, което за сега работи при мен, го схванах с 300 зора ':crazy:'
Активен

Ползвам т'ва, к'вот ме кефи

ktodorov

  • Напреднали
  • *****
  • Публикации: 36
    • Профил
iptables ...
« Отговор #21 -: Feb 08, 2006, 16:06 »
А защо не пуснеш proxy примерно Squid и от него да ги правиш тези забрани за icq,  и всякакви такива?
Че има и много програми за статистика на логовете примерно Sarg  за Squid ...
Активен

  • Гост
iptables ...
« Отговор #22 -: Feb 08, 2006, 19:49 »
Зада администрираш мрежа и интернет трафик, първо трябва да разбереш какво е мрежа, интернет и как те работят!
Активен

smelkomar

  • Напреднали
  • *****
  • Публикации: 429
    • Профил
iptables ...
« Отговор #23 -: Feb 09, 2006, 14:57 »
Но дори да е така, не пречи да питам... нали? ':p' Не се занимавам професионално с Линукс. А и като съм прекарал повече време в "прозорците"... ':crazy:'
Активен

Ползвам т'ва, к'вот ме кефи

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables
Настройка на програми
mozly 1 2968 Последна публикация Dec 10, 2002, 23:48
от Vency
iptables
Настройка на програми
sunhater 3 2679 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 3189 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 3336 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 2436 Последна публикация May 03, 2003, 17:00
от