The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Блокировка сайта"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение [ Отслеживать ]

"Блокировка сайта"  +/
Сообщение от pupkin petya on 24-Июн-11, 13:19 
Здрастувте,
нужно заблокировать парочку сайтов.
Gateway CentOS с выходом в интернет через VPN-роутер.
Юзеры с локалки подключаються через VPN.
Я пробовал так :

iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP    
В итоге я с гейтвея зайти на сайт не могу , а юзеры могут.
Что не так то?
Заранее спасибо

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блокировка сайта"  +/
Сообщение от Puk on 24-Июн-11, 13:27 
>[оверквотинг удален]
> нужно заблокировать парочку сайтов.
> Gateway CentOS с выходом в интернет через VPN-роутер.
> Юзеры с локалки подключаються через VPN.
> Я пробовал так :
> iptables -A FORWARD -t filter -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport
> 80 -j DROP
> В итоге я с гейтвея зайти на сайт не могу , а
> юзеры могут.
> Что не так то?
> Заранее спасибо

В iptables я не силён...
А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блокировка сайта"  +/
Сообщение от pupkin petya on 24-Июн-11, 13:41 
> В iptables я не силён...
> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?

Да , получают с этой сети.
Спасибо , попробую.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Блокировка сайта"  +/
Сообщение от pupkin petya on 24-Июн-11, 14:11 
>> В iptables я не силён...
>> А при подключении к впн, юзеры 192.168.71. ипы получают или другие?
>> Если никому не надо на эти сайты, то может -s 192.168.0.0/16 дать?
> Да , получают с этой сети.
> Спасибо , попробую.

Не помогает.
Пробовал
iptables -I OUTPUT -d *site-ip* -j DROP

Всё так-же гейтвей не заходит , а клиенты да.

Может как то по другому запретить доступ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Блокировка сайта"  +/
Сообщение от skeletor (ok) on 24-Июн-11, 14:15 
Попробуй так.
iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j DROP
Кстати, дай вывод сюда
iptables -L
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Блокировка сайта"  +/
Сообщение от pupkin petya on 24-Июн-11, 14:19 
> Попробуй так.
> iptables -A FORWARD -s 192.168.71.0/24 -d 208.68.138.210 -p tcp --dport 80 -j
> DROP
> Кстати, дай вывод сюда
> iptables -L

Всё так же *sad*

Вывод
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  192.168.71.0/24      rbfe-zibb1.bos3.fastsearch.net tcp dpt:http

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             rbfe-zibb1.bos3.fastsearch.net
DROP       all  --  anywhere             66.231.181.201
[root@asu SOFT]#                        

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Блокировка сайта"  +/
Сообщение от Дядя_Федор on 24-Июн-11, 14:42 
Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят? И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка. Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже третья подсказка.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Блокировка сайта"  +/
Сообщение от pupkin petya on 24-Июн-11, 14:53 
> Угу-угу. Хотите сказать, что Вы клиентов не натите, да? :) Намек понят?
> И смотреть надо не filter-таблицу, а nat! Это уже вторая подсказка.
> Ну и попутно - запустите тцпдамп на внешнем интерфейсе и попробуйте
> изнутри сети зайти на этот сайт, который хотите заблокировать. Это уже
> третья подсказка.

Спасибо за ответ , но можно по подробней.

Вот новое правило и новый фейл


[root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j DROP
iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[root@asu SOFT]#

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Блокировка сайта"  +/
Сообщение от pupkin petya on 24-Июн-11, 14:59 
И почему тогда не сработало правило на весь исходящий трафик?
iptables -I OUTPUT -d *site_ip* -j DROP

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Блокировка сайта"  +/
Сообщение от Дядя_Федор on 24-Июн-11, 15:39 
> И почему тогда не сработало правило на весь исходящий трафик?
> iptables -I OUTPUT -d *site_ip* -j DROP

Потому что Вы не знаете логики работы iptables. Найдите здесь же на опеннете руководство по iptables и помедитируйте, глядя на схему прохождения цепочек и таблиц. Говорят, помогает. В частности - разберитесь, что такое цепочка OUPUT и какой трафик в нее попадает. Ну а уж потом можно и до FORWARD добраться.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Блокировка сайта"  +/
Сообщение от Andrey Mitrofanov on 24-Июн-11, 15:00 
*>> а nat!
>-t NAT
> can't initialize iptables table `NAT': Table does not exist
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Блокировка сайта"  +/
Сообщение от Дядя_Федор on 24-Июн-11, 15:37 
> [root@asu SOFT]# iptables -t NAT -A POSTROUTING -s 192.168.71.0/24 -d 208.68.138.210 -j
> DROP
> iptables v1.3.5: can't initialize iptables table `NAT': Table does not exist (do
> you need to insmod?)
> Perhaps iptables or your kernel needs to be upgraded.
> [root@asu SOFT]#

Правильный фейл. :) Такой таблицы действительно нет. Ну и раз пошла такая пьянка - то уж покажите потом iptables -t nat -nL (можно даже -nvL)


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Блокировка сайта"  +/
Сообщение от pupkin petya on 24-Июн-11, 16:03 
[root@asu SOFT]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
DNAT       udp  --  172.16.0.0/24       !172.16.0.238        multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xa
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0xc

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@asu SOFT]#
А можно нормально ответить как заблокировать эти сайты без лишнего гемороя?


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Блокировка сайта"  +/
Сообщение от Andrey Mitrofanov on 24-Июн-11, 16:13 
> DNAT
> to:172.16.0.238:3128

+<:)))))))  Тема обещает быть "Популярной" -- после следующего раунда, про сквид.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Блокировка сайта"  +/
Сообщение от Дядя_Федор on 24-Июн-11, 17:27 
> +<:)))))))  Тема обещает быть "Популярной" -- после следующего раунда, про сквид.

Да ужжж. :) Опять же - еще одна сетка вдруг вылезла.


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Блокировка сайта"  +/
Сообщение от Дядя_Федор on 24-Июн-11, 17:30 
> DNAT       tcp  --  172.16.0.0/24
>       !172.16.0.238    
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128
> DNAT       udp  --  172.16.0.0/24
>       !172.16.0.238    
>    multiport dports 80,81,82,83,88,8000,8001,8002,8080,8081 to:172.16.0.238:3128

Прээлестна... А эта сеть откуда вылезла? :-() Про прокси Вы вообще ни слова не сказали. О чем, кстати замечено ниже.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру