Forum Debian Users Gang

stepien86 · 2006-03-30 10:51:53

Witam....mam takie pytanko....jak zablokowac sasiadowi dostep do internetu za pomoca iptables ale bez instalowania Apacha...poprostu zeby nie mial dostepu do internetu bez koniecznosci restartowania serwera...jak np teraz korzysta ja wklepuje regolke i nie ma netu :) :):)
Np dla tego uzytkownika:
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.3 -j SNAT --to 86.88.884.122

? Prosze o Pomoc

Libo · 2006-03-30 11:04:56

stephen86 - Apache to jest serwer www i ma sie on nijak ( lub prawie nijak ) do firewala opartego o iptables.
a odpowadajac na twoje pytanie, wystarczy ze wyhaszujesz (#) ta linijke co podales z firewala, mozesz tez zamias haszowac dopisac gdziec

iprables -I FORWARD -s 192.168.1.3 -j REJECT
iprables -I FORWARD -d 192.168.1.3 -j REJECT

oczywiscie da sie to zrobic na wiele sposobow, ja podalem tylko jeden
pozdrawiam

stepien86 · 2006-03-30 11:08:27

Dzieeeeki wielkie wyprobuje to jak tylko do domu wroce....!!!!!!!! <piwo> WIELKIEE THANX

ZeuS · 2006-04-04 09:39:26

Nie bede zakladal nwego tematu skoro pytanie dotyczy prawie tego samego :)
A jak mam taka sytuacje ze udostepniony internet mma popzrez komende :

iptables -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE -t nat;

A teraz chce udstepnic tylko konkretnym ludziom w sieci... ( poszczegolnym IP).
Mozecie mi podac jak to sie robi ?
Pozdrawiam :)

Libo · 2006-04-04 11:03:53

mozesz to na przykład zrobic tak ze linijke
iptables -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE -t nat

zamieniasz na kilka takich:
iptables -A POSTROUTING -s ip_os_ktora_ma_miec_net -j MASQUERADE -t nat;

BiExi · 2006-04-04 12:17:10

twoja linijka udostepnia neta dla wszystkich kompow posiadajacych IP z klasy 192.168.0.0/24

Kod:

iptables -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE -t nat

zamieniajac to na przyklad ktory podal libo

Kod:

iptables -A POSTROUTING -s 192.168.0.3/32 -j MASQUERADE -t nat

udostepniasz net'a tylko userowi o IP 192.168.0.3
dodatkwo mozesz wprowadzic kontorle po MAC'u

Kod:

iptables -A FORWARD -s 192.168.0.3 -m mac --mac-source 00:30:FF:26:9C:08 -j ACCEPT

a da jescze wekszego zmiekszenia kotnroli tworzysz sobie plik /etc/ethers gdzie wpisujesz

Kod:

00:30:FF:26:9C:08 192.168.0.3

i wydajesz polecenie

Kod:

arp -f

oczywiscie zakladajac ze user o IP 192.168.0.3 ma MAC'a 00:30:FF:26:9C:08

ZeuS · 2006-04-05 19:38:12

Moze zapytam sie jak laik :)
ale :

Kod:

iptables -A POSTROUTING -s 192.168.0.3/32 -j MASQUERADE -t nat

Podalas ip/32... 32 jako maske podsieci ???
Jezeli cala siec ustawiona mam na 255.255.255.0 wiec maske 24 to nie powinno byc tak samo ??

BiExi · 2006-04-05 23:23:27

maska /32 oznacza 1 adres IP w sieci a teraz z kad sie to bierze np
maska

255.255.255.0 - 256 adresow IP
binarnie
11111111 11111111 11111111 00000000
policzysz 1 i masz 24 :]

dla maski /32 czyli 255.255.255.255
binarnie
11111111 11111111 11111111 11111111

teraz powiedzmy chemy miec podsiec z 32 adresami IP
binarnie
11111111 11111111 11111111 11100000
z kad to sie wzielo? zpobaczmy na
11100000

rozpisze to pionowo
1 2^7 = 128 adresow IP
1 2^6 = 64 adresow IP
1 2^5 = 32 adresow IP
0 2^4 = 16 adresow IP
0 2^3 = 8 adresow IP
0 2^2 = 4 adresow IP
0 2^1 = 2 adresow IP
0 2^0 = 1 adresow IP

pierwsza 1 :] okresla nam ile adresow IP

Forum Debian Users Gang

Ogłoszenie

#1 2006-03-30 10:51:53

stepien86 - Członek DUG

Pytanie dot Iptables - Blokady

#2 2006-03-30 11:04:56

Libo - Użytkownik

Re: Pytanie dot Iptables - Blokady

#3 2006-03-30 11:08:27

stepien86 - Członek DUG

Re: Pytanie dot Iptables - Blokady

#4 2006-04-04 09:39:26

ZeuS - Użytkownik

Re: Pytanie dot Iptables - Blokady

#5 2006-04-04 11:03:53

Libo - Użytkownik

Re: Pytanie dot Iptables - Blokady

#6 2006-04-04 12:17:10

BiExi - matka przelozona

Re: Pytanie dot Iptables - Blokady

Kod:

Kod:

Kod:

Kod:

Kod:

#7 2006-04-05 19:38:12

ZeuS - Użytkownik

Re: Pytanie dot Iptables - Blokady

Kod:

#8 2006-04-05 23:23:27

BiExi - matka przelozona

Re: Pytanie dot Iptables - Blokady

Stopka forum