|
программа для блокирования доступа в Интернет
Нужна программа для блокирования доступа в Интернет по IP по сети.
Чтоб удобно было блокирование и разблокирование. К примеру такой-то машине заблокировать шлюз. |
А что у тебя стоит на шлюзе?
Наверняка какой нибудь софт и он скорее всего это умеет. Если нет - то например Winroute можно поставить... |
На шлюзе Linux Suse
|
Цитата:
|
Если стоит линух, то использование сквида и создание ACL-листов в сквиде с правилами доступа спасет тебя .
Подробнее читай http://www.opennet.ru/search.shtml?e...ex&words=squid |
Squid-а нет на серваке
|
Хм..
1. Поставить Squid 2. попробовать использовать для этих целей iptables типа добавлять/удалять в iptables строчку iptables -I INPUT -i eth0(принимаем, что внутренний интерфейс это eth0) -s 192.168.0.xxx (типа у тебя такая подсеть, пишешь конкретный IP) -j DROP по этой строке для Васи с IP 192,168,0,ххх все запросы попросту дропаются и никуда оно не лезет. а чтобы было "удобно" - сделать этот поцесс на скриптах с подстановкой требуемого IP адреса, типа запустил скрипт lock - он тебя спросил какой адрес и сам вбил в iptables строку. И соотв. unlock для разблокирования. |
To Nonslanqy_shrek
Спасибо, сейчас попробую To Nonslanqy_shrek Спасибо, сейчас попробую. Да, а локалка будет у него работать? |
Ну ты же дропаешь пакеты на входе ШЛЮЗА.. 9-)) я надеюсь у тебя древовидная структура сетки и шлюз один 8-)) Все что ДО шлюза он будет прекрасно видеть, все что ПОСЛЕ - недоступно.
Хмм.. вот о чем я не подумал.. если шлюз выполняет функции авторизации - то и авторизоватся он не сможет.. потому как и запрос дропнеться ТОЖЕ. В таком случае тебе придется установить и настроить Сквид. Не так эт долго-сложно. зато потоооом.. такие перспективы открываются.. 8-)) в том числе и ужимание (шейпинг) каналов и протчая и протчая.. |
To Nonslanqy_shrek
Попробовал, Интернет как был так и есть, но зато Я не могу сервак пинговать и даже залезть на него телнетом не дает. Можети это правило только локальные пакеты дропает. Таким образом все получилось наоборот Squid ставить боязно - не работал с ней. Может основное правило (ну которая в nat) перебивает эту |
У меня все проканало.. сам себе инет порубил - вылетел в мессаг "cannot connect to proxy"
Может просто из локального кеша у тебя все взялось?? Значит так. Давай разбираться. Что мы должны сделать? Мы должны закрыть васе доступ к шлюзу. и оставить его всем остальным. Правила исполняются сверху-вниз, жто значит, что если найдено удовлетворяющее правило, то дальше ничего не делается (это важно для дальнейших манипуляций) Что мы делаем. Мы втыкаем в iptables командой -I (обязательно ею, чтобы данное правило стало ПЕРВЫМ в таблице) правило для адреса 192,168,0,ххх . iptables -I INPUT -i eth0 -s 192.168.0.xxx -j DROP разбираем. -I - вставить В НАЧАЛО таблицы INPUT - имя таблицы, в которую вставляем -i - входящие пакеты eth0 - интерфейс который слушаем (в твоем случае это может быть eth1 или еще какой - смотри сам, который интерфейс в твоем случае смотрит во ВНУТРЕННЮЮ сеть в ту, где сидит наш Вася) -s 192.168.0.xxx - исходный адрес (адрес нашего Васи) -j DROP - что именно мы делаем с этими пакетами - в данном случае бросаем. Тааким образом, машинка получает пакет с исходным адресом 192.168.0.xxx и в таблице INPUT находит строчку что с ним делать - (вот где важно чтобы строка стояла первой - поскольку есди она стоит в конце, что можно сделать использовав команду -A вместо -I, то сработает команда, стоящая где-то в середине, разрешающая доступ в инет всем компам из адресного пространства 192,168,0,0/24) - а именно - ДРОПНУТЬ. и все.. Собственно. Только что проверено на своем собственном компе, отработало по честному - меня отдропало.. 8-)) А вообще, этимо правилами можно рулить ВСЕ. Прочитай про iptables на www.opennet.ru - там много интересного. Натовые правила работают ПОСЛЕ правил таблицы INPUT/ >>> Может основное правило (ну которая в nat) перебивает эту Нет. ты сам можешь указать, какие пакеты, откуда и куда и с какого интерфейса.. Читай внимательно, а строчку вбивай с соблюдением БОЛЬШИЕ или маленьке буквы.. 8-)) >>> Можети это правило только локальные пакеты дропает. Таким образом |
iptables -I INPUT -i eth0 -s 192.168.120.2 -j DROP
Вот строчка на шлюзе, я ее запускаю. Дропает пакеты только на себя, остальные пропускает eth0 - внутренний интерфейс eth1 - внешний Из кэша не может, я каждый раз новые адреса даю, да и пингую каждый раз |
Непонятно. У тебя он что не проксирующий? Т. е в настройках експлорера у Васи не стоит "использовать прокси" и адрес 192,168,0,1 ??
а DNS сервером кто стоит у Васи? После добавления строчки дай команду iptables -L -v первой строкой должна быть такого вида pkts bytes target prot opt in out source destination 0 0 DROP all -- eth0 any 192.168.0.xxx anywhere что значит что ЛЮБЫЕ пакеты от 192.168.0.xxx приходящие на eth0 по любому протоколу, с любым адресом назначения дропаются. Плях.. я своих пользователей сквидом рулю. |
Он у меня не проксирующий, в настройках эксплорера ничего нет, просто в сетевых настройках стоит шлюз - 192.168.120.1, а DNS-ы провайдерские из внешней сетки
По команде iptables -L -v все как у тебя, но инет у меня работает!!! |
All
Перекинуто в Пингвинятник. |
| Часовой пояс GMT +4, время: 15:34. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.