Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
#1 2008-12-29 21:16:21
rulezdc - 
Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
witam
mam taki mały dylemat
nie mam jak użyć squid-a jak narazie a czas nagli
chcę udostępnić jednemu hostowi w sieci powiedzmy o IP: 192.168.1.11 tylko jedna strone powiedzmy www.onet.pl
autoryzacja po mac-u
i mam następujące wpisy w iptables
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
i teraz chce aby mozna bylo tylko otwierac strone o IP: 213.180.130.200 (onet)
iptables -A FORWARD -p tcp -s 192.168.1.11 -d 213.180.130.200 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.11 -d 213.180.130.200 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.11 -s 213.180.130.200 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.11 -s 213.180.130.200 -m state --state RELATED,ESTABLISHED -j ACCEPT
no i niestety nie działa i nie wiem czemu, mozę mi ktoś podpowie jak to rozwiązać, aby można było tylko ejdną stronę używać
pozdrawiam
T.M.
Offline
#2 2008-12-29 21:18:55
urug - Członek DUG
#3 2008-12-29 21:29:59
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
najpierw mam blokowanie calego ruchu poprzez
iptables -P FORWARD -j DROP
juz zmienialem iptables -A na iptables -I i dalej nie ma polaczenia ze strona
Offline
#4 2008-12-29 21:35:28
urug - Członek DUG
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
a jak tam wygląda połączenie z serwerem DNS? Ping do tego IP'ka też nie dochodzi - (przepuść jeszcze ICMP) :P ? Co na to wszystko iptables -L FORWARD -vn ? Nie zaszkodziło by gdybyś pokazał całość regułek (iptables -S)
Ostatnio edytowany przez urug (2008-12-29 21:38:56)
Pozdrawiam, Tomek
Offline
#5 2008-12-29 21:46:06
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
pingi tez nie dochodza
mam coś takiego w iptables -L FORWARD -vn
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 213.180.130.200 192.168.1.11 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 213.180.130.200 192.168.1.11 state NEW
0 0 ACCEPT tcp -- * * 192.168.1.11 213.180.130.200 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.1.11 213.180.130.200 state NEW
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:67:DD:F6
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * 192.168.1.10 0.0.0.0/0 0.0.0.0/0
0 0 DROP tcp -- * * 192.168.1.12 0.0.0.0/0 #conn/32 > 10
0 0 DROP tcp -- * * 192.168.1.13 0.0.0.0/0 #conn/32 > 5
0 0 DROP tcp -- * * 192.168.1.14 0.0.0.0/0 #conn/32 > 5
0 0 DROP tcp -- * * 192.168.1.20 0.0.0.0/0 #conn/32 > 20
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:36:96:68
0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.1.12 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:14:5E:5A:BD:DF
0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.1.13 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:44:A3:89
0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.1.14 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:5D:82:1B
0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.1.20 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW multiport dports 20,21,25,53,67,80,81,110,443,465,995
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW multiport dports 20,21,25,53,67,80,81,110,465,995
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Offline
#6 2008-12-29 21:50:18
urug - Członek DUG
#7 2008-12-29 22:01:01
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
sprawdzalem po nazwie,
a po IP poszlo, tylko cos iptables mi nie che przyjmowac nazw stron www
Offline
#8 2008-12-29 22:04:32
urug - Członek DUG
#9 2008-12-29 22:06:28
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
jeszcze raz dzieki teraz dziala bez problemu
tylko nie wiem czemu iptables jak wpisze adres strony to sie burzy:
host/network www.onet.pl not found
Offline
#10 2008-12-29 22:08:01
urug - Członek DUG
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
jak wpisujesz iptables ... -d/-s www.onet.pl ? A lokalna maszyna ma połączenie z DNS'em ? :P
Pozdrawiam, Tomek
Offline
#11 2008-12-29 22:17:55
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
jak widzisz z z ego co wkleiłem
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW multiport dports 20,21,25,53,67,80,81,110,443,465,995
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW multiport dports 20,21,25,53,67,80,81,110,465,995
przepuszczam zapytania na dns,
a wpisuje w iptables
iptables -A FORWARD -p tcp -d 192.168.1.11 -s 213.180.130.200 -m state --state NEW -j ACCEPT i zamiast ip wpisuje nazwe
Offline
#12 2008-12-29 22:22:42
urug - Członek DUG
#13 2008-12-29 22:32:45
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
ale w output tez mam dns odblokowany:
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
27 2532 ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW multiport dports 20,21,25,53,67,80,81,110,443,465,995
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW multiport dports 20,21,25,53,67,80,81,110,465,995
Offline
#14 2008-12-29 23:30:05
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
jeszcze tylko dopisze jedno:
w skrypcie wywala mi błąd:
host/network www.onet.pl not found
jednak jak wpisze regułkę w linii poleceń to przechodzi bez problemu
zauważyłem, że jak zakomentuje linie dotyczące czyszczenia łańcuchów i tablic a dokładniej:
iptables -F
iptables -F OUTPUT
to wszystko przechodzi, czyli sie nie wysypuje
nie wiem co może być
Offline
#15 2008-12-29 23:36:37
urug - Członek DUG
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
To może zależeć od kolejności dodawania reguł (np. najpierw blokujesz cały OUTPUT, potem dodajesz regułki FORWARD, dopiero potem OUTPUT...)
Pozdrawiam, Tomek
Offline
#16 2008-12-29 23:44:47
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
tak mam
wszystko blokuje na poczatku a potem dodaje łańcuchami po kolei czyli INPUT, FORWARD, OUTPUT
czyli trzeba będzie zacząć blokować przed każdym łańcuchem
tylko teraz to się zakręciłem
1. czy najpierw blokować wszystko i otwierać to co chcę
2. czy najpierw otwierać to co chcę a potem blokować wszystko
czyli w krótkim przykładzie czy:
a)
iptables -P INPUT -j DROP
iptables -I (lub A) INPUT --dport 22 -j ACCEPT
czy
b)
iptables -I (lub A) INPUT --dport 22 -j ACCEPT
iptables -P INPUT -j DROP
Offline
#17 2008-12-29 23:50:51
urug - Członek DUG
Re: iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www
To jest w większości przypadków bez różnicy. Różnicę to robi u Ciebie tylko dlatego że chcesz dostępu do DNS'a, chociaż jeszcze nie dodałeś reguł które by go umożliwiały. Dlatego wystarczy (Tak mi się wydaje), że najpierw załatwisz OUTPUT, (i dodasz regułkę na początku która załatwi DNS'a), a potem już jak chcesz :P
Pozdrawiam, Tomek
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » iptables blokowanie wszytkich połączeń za wyjątkiem 1 strony www