forum.opennet.ru - "Блокировка сайта" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Блокировка сайта"

Форум Информационная безопасность (Linux iptables, ipchains)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Блокировка сайта"	+/–
Сообщение от pupkin petya on 24-Июн-11, 13:19
Здрастувте, нужно заблокировать парочку сайтов. Gateway CentOS с выходом в интернет через VPN-роутер. Юзеры с локалки подключаються через VPN. Я пробовал так : iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP В итоге я с гейтвея зайти на сайт не могу , а юзеры могут. Что не так то? Заранее спасибо
Ответить \| Правка \| Cообщить модератору

Оглавление

Блокировка сайта, Puk, 13:27 , 24-Июн-11, (1)

Блокировка сайта, pupkin petya, 13:41 , 24-Июн-11, (2)

Блокировка сайта, pupkin petya, 14:11 , 24-Июн-11, (3)

Блокировка сайта, skeletor, 14:15 , 24-Июн-11, (4)

Блокировка сайта, pupkin petya, 14:19 , 24-Июн-11, (5)

Блокировка сайта, Дядя_Федор, 14:42 , 24-Июн-11, (6)

Блокировка сайта, pupkin petya, 14:53 , 24-Июн-11, (7)

Блокировка сайта, pupkin petya, 14:59 , 24-Июн-11, (8)

Блокировка сайта, Дядя_Федор, 15:39 , 24-Июн-11, (11)

Блокировка сайта, Andrey Mitrofanov, 15:00 , 24-Июн-11, (9)
Блокировка сайта, Дядя_Федор, 15:37 , 24-Июн-11, (10)

Блокировка сайта, pupkin petya, 16:03 , 24-Июн-11, (12)

Блокировка сайта, Andrey Mitrofanov, 16:13 , 24-Июн-11, (13)

Блокировка сайта, Дядя_Федор, 17:27 , 24-Июн-11, (14)

Блокировка сайта, Дядя_Федор, 17:30 , 24-Июн-11, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Блокировка сайта" +/–

Сообщение от Puk on 24-Июн-11, 13:27

>[оверквотинг удален]
> нужно заблокировать парочку сайтов.
> Gateway CentOS с выходом в интернет через VPN-роутер.
> Юзеры с локалки подключаються через VPN.
> Я пробовал так :
> iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport
> 80 -j DROP
> В итоге я с гейтвея зайти на сайт не могу , а
> юзеры могут.
> Что не так то?
> Заранее спасибо
В iptables я не силён...
А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блокировка сайта" +/–

Сообщение от pupkin petya on 24-Июн-11, 13:41

> В iptables я не силён...
> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
Да , получают с этой сети.
Спасибо , попробую.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Блокировка сайта" +/–

Сообщение от pupkin petya on 24-Июн-11, 14:11

>> В iptables я не силён...
>> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
>> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
> Да , получают с этой сети.
> Спасибо , попробую.
Не помогает.
Пробовал
iptables -I OUTPUT -d *site-ip* -j DROP
Всё так-же гейтвей не заходит , а клиенты да.
Может как то по другому запретить доступ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Блокировка сайта" +/–

Сообщение от skeletor (ok) on 24-Июн-11, 14:15

Попробуй так.
iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP
Кстати, дай вывод сюда
iptables -L

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Блокировка сайта" +/–

Сообщение от pupkin petya on 24-Июн-11, 14:19

> Попробуй так.
> iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j
> DROP
> Кстати, дай вывод сюда
> iptables -L
Всё так же *sad*
Вывод
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  192.168.71.0/24      rbfe-zibb1.bos3.fastsearch.net tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             rbfe-zibb1.bos3.fastsearch.net
DROP       all  --  anywhere             66.231.181.201
[root@asu SOFT]#

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Блокировка сайта" +/–

Сообщение от Дядя_Федор on 24-Июн-11, 14:42

Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже третья подсказка.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Блокировка сайта" +/–

Сообщение от pupkin petya on 24-Июн-11, 14:53

> Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят?
> И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка.
> Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте
> изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже
> третья подсказка.
Спасибо за ответ , но можно по подробней.
Вот новое правило и новый фейл

[root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP
iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[root@asu SOFT]#

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Блокировка сайта" +/–

Сообщение от pupkin petya on 24-Июн-11, 14:59

И почему тогда не сработало правило на весь исходящий трафик?
iptables -I OUTPUT -d *site_ip* -j DROP

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Блокировка сайта" +/–

Сообщение от Дядя_Федор on 24-Июн-11, 15:39

> И почему тогда не сработало правило на весь исходящий трафик?
> iptables -I OUTPUT -d *site_ip* -j DROP
Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Блокировка сайта" +/–

Сообщение от Andrey Mitrofanov on 24-Июн-11, 15:00

*>> а nat!
>-t NAT
> can't initialize iptables table `NAT': Table does not exist

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Блокировка сайта" +/–

Сообщение от Дядя_Федор on 24-Июн-11, 15:37

> [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j
> DROP
> iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do
> you need to insmod?)
> Perhaps iptables or your kernel needs to be upgraded.
> [root@asu SOFT]#
Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Блокировка сайта" +/–

Сообщение от pupkin petya on 24-Июн-11, 16:03

[root@asu SOFT]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
DNAT       udp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xa
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xc
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@asu SOFT]#
А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Блокировка сайта" +/–

Сообщение от Andrey Mitrofanov on 24-Июн-11, 16:13

> DNAT
> to:172.16.0.238:3128
+<:)))))))  Тема обещает быть "Популярной" -- после следующего раунда, про сквид.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Блокировка сайта" +/–

Сообщение от Дядя_Федор on 24-Июн-11, 17:27

> +<:)))))))  Тема обещает быть "Популярной" -- после следующего раунда, про сквид.
Да ужжж. :) Опять же - еще одна сетка вдруг вылезла.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Блокировка сайта" +/–

Сообщение от Дядя_Федор on 24-Июн-11, 17:30

> DNAT       tcp  --  172.16.0.0/24
>       !172.16.0.238
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
> DNAT       udp  --  172.16.0.0/24
>       !172.16.0.238
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Блокировка сайта"	+/–
Сообщение от Puk on 24-Июн-11, 13:27
>[оверквотинг удален] > нужно заблокировать парочку сайтов. > Gateway CentOS с выходом в интернет через VPN-роутер. > Юзеры с локалки подключаються через VPN. > Я пробовал так : > iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport > 80 -j DROP > В итоге я с гейтвея зайти на сайт не могу , а > юзеры могут. > Что не так то? > Заранее спасибо В iptables я не силён... А при подключении к впн, юзеры 192.168.71. ипы получают или другие? Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Блокировка сайта"	+/–
	Сообщение от pupkin petya on 24-Июн-11, 13:41
	> В iptables я не силён... > А при подключении к впн, юзеры 192.168.71. ипы получают или другие? > Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать? Да , получают с этой сети. Спасибо , попробую.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Блокировка сайта"	+/–
	Сообщение от pupkin petya on 24-Июн-11, 14:11
	>> В iptables я не силён... >> А при подключении к впн, юзеры 192.168.71. ипы получают или другие? >> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать? > Да , получают с этой сети. > Спасибо , попробую. Не помогает. Пробовал iptables -I OUTPUT -d site-ip -j DROP Всё так-же гейтвей не заходит , а клиенты да. Может как то по другому запретить доступ?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Блокировка сайта"	+/–
	Сообщение от skeletor (ok) on 24-Июн-11, 14:15
	Попробуй так. iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP Кстати, дай вывод сюда iptables -L
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Блокировка сайта"	+/–
	Сообщение от pupkin petya on 24-Июн-11, 14:19
	> Попробуй так. > iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j > DROP > Кстати, дай вывод сюда > iptables -L Всё так же sad Вывод iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp -- 192.168.71.0/24 rbfe-zibb1.bos3.fastsearch.net tcp dpt:http Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- anywhere rbfe-zibb1.bos3.fastsearch.net DROP all -- anywhere 66.231.181.201 [root@asu SOFT]#
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Блокировка сайта"	+/–
	Сообщение от Дядя_Федор on 24-Июн-11, 14:42
	Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже третья подсказка.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Блокировка сайта"	+/–
	Сообщение от pupkin petya on 24-Июн-11, 14:53
	> Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? > И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. > Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте > изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже > третья подсказка. Спасибо за ответ , но можно по подробней. Вот новое правило и новый фейл [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. [root@asu SOFT]#
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Блокировка сайта"	+/–
	Сообщение от pupkin petya on 24-Июн-11, 14:59
	И почему тогда не сработало правило на весь исходящий трафик? iptables -I OUTPUT -d site_ip -j DROP
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	11. "Блокировка сайта"	+/–
	Сообщение от Дядя_Федор on 24-Июн-11, 15:39
	> И почему тогда не сработало правило на весь исходящий трафик? > iptables -I OUTPUT -d site_ip -j DROP Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	9. "Блокировка сайта"	+/–
	Сообщение от Andrey Mitrofanov on 24-Июн-11, 15:00
	*>> а nat! >-t NAT > can't initialize iptables table `NAT': Table does not exist
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "Блокировка сайта"	+/–
	Сообщение от Дядя_Федор on 24-Июн-11, 15:37
	> [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j > DROP > iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do > you need to insmod?) > Perhaps iptables or your kernel needs to be upgraded. > [root@asu SOFT]# Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	12. "Блокировка сайта"	+/–
	Сообщение от pupkin petya on 24-Июн-11, 16:03
	[root@asu SOFT]# iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 DNAT udp -- 172.16.0.0/24 !172.16.0.238 multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xa MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 MARK match 0xc Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@asu SOFT]# А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Блокировка сайта"	+/–
	Сообщение от Andrey Mitrofanov on 24-Июн-11, 16:13
	> DNAT > to:172.16.0.238:3128 +<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Блокировка сайта"	+/–
	Сообщение от Дядя_Федор on 24-Июн-11, 17:27
	> +<:))))))) Тема обещает быть "Популярной" -- после следующего раунда, про сквид. Да ужжж. :) Опять же - еще одна сетка вдруг вылезла.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Блокировка сайта"	+/–
	Сообщение от Дядя_Федор on 24-Июн-11, 17:30
	> DNAT tcp -- 172.16.0.0/24 > !172.16.0.238 > multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 > DNAT udp -- 172.16.0.0/24 > !172.16.0.238 > multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128 Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору