программа для блокирования доступа в Интернет

[abdu]

Нужна программа для блокирования доступа в Интернет по IP по сети.
Чтоб удобно было блокирование и разблокирование. К примеру такой-то машине заблокировать шлюз.

[Cartman]

А что у тебя стоит на шлюзе?
Наверняка какой нибудь софт и он скорее всего это умеет.
Если нет - то например Winroute можно поставить...

[abdu]

На шлюзе Linux Suse

[Cartman]

Цитата:

abdu:
На шлюзе Linux Suse

Это тебе в Пингвинятник.

Если стоит линух, то использование сквида и создание ACL-листов в сквиде с правилами доступа спасет тебя .
Подробнее читай
http://www.opennet.ru/search.shtml?e...ex&words=squid

[abdu]

Squid-а нет на серваке

Хм..
1. Поставить Squid
2. попробовать использовать для этих целей iptables

типа добавлять/удалять в iptables строчку

iptables -I INPUT -i eth0(принимаем, что внутренний интерфейс это eth0)
-s 192.168.0.xxx (типа у тебя такая подсеть, пишешь конкретный IP) -j DROP

по этой строке для Васи с IP 192,168,0,ххх все запросы попросту дропаются и никуда оно не лезет.

а чтобы было "удобно" - сделать этот поцесс на скриптах с подстановкой требуемого IP адреса, типа запустил скрипт lock - он тебя спросил какой адрес и сам вбил в iptables строку. И соотв. unlock для разблокирования.

[abdu]

To Nonslanqy_shrek
Спасибо, сейчас попробую

To Nonslanqy_shrek
Спасибо, сейчас попробую.
Да, а локалка будет у него работать?

Ну ты же дропаешь пакеты на входе ШЛЮЗА.. 9-)) я надеюсь у тебя древовидная структура сетки и шлюз один 8-)) Все что ДО шлюза он будет прекрасно видеть, все что ПОСЛЕ - недоступно.
Хмм.. вот о чем я не подумал.. если шлюз выполняет функции авторизации - то и авторизоватся он не сможет.. потому как и запрос дропнеться ТОЖЕ.
В таком случае тебе придется установить и настроить Сквид.
Не так эт долго-сложно. зато потоооом.. такие перспективы открываются.. 8-))
в том числе и ужимание (шейпинг) каналов и протчая и протчая..

[abdu]

To Nonslanqy_shrek
Попробовал, Интернет как был так и есть, но зато Я не могу сервак пинговать и даже залезть на него телнетом не дает. Можети это правило только локальные пакеты дропает. Таким образом все получилось наоборот
Squid ставить боязно - не работал с ней.
Может основное правило (ну которая в nat) перебивает эту

У меня все проканало.. сам себе инет порубил - вылетел в мессаг "cannot connect to proxy"
Может просто из локального кеша у тебя все взялось??
Значит так. Давай разбираться.
Что мы должны сделать? Мы должны закрыть васе доступ к шлюзу.
и оставить его всем остальным. Правила исполняются сверху-вниз, жто значит, что если найдено удовлетворяющее правило, то дальше ничего не делается (это важно для дальнейших манипуляций)
Что мы делаем. Мы втыкаем в iptables командой -I (обязательно ею, чтобы данное правило стало ПЕРВЫМ в таблице) правило для адреса 192,168,0,ххх .

iptables -I INPUT -i eth0 -s 192.168.0.xxx -j DROP

разбираем.

-I - вставить В НАЧАЛО таблицы
INPUT - имя таблицы, в которую вставляем
-i - входящие пакеты
eth0 - интерфейс который слушаем (в твоем случае это может быть eth1 или еще какой - смотри сам, который интерфейс в твоем случае смотрит во ВНУТРЕННЮЮ сеть в ту, где сидит наш Вася)
-s 192.168.0.xxx - исходный адрес (адрес нашего Васи)
-j DROP - что именно мы делаем с этими пакетами - в данном случае бросаем.


Тааким образом, машинка получает пакет с исходным адресом 192.168.0.xxx и в таблице INPUT находит строчку что с ним делать - (вот где важно чтобы строка стояла первой - поскольку есди она стоит в конце, что можно сделать использовав команду -A вместо -I, то сработает команда, стоящая где-то в середине, разрешающая доступ в инет всем компам из адресного пространства 192,168,0,0/24) - а именно - ДРОПНУТЬ. и все..
Собственно.
Только что проверено на своем собственном компе, отработало по честному - меня отдропало.. 8-))

А вообще, этимо правилами можно рулить ВСЕ. Прочитай про iptables на www.opennet.ru - там много интересного.

Натовые правила работают ПОСЛЕ правил таблицы INPUT/
>>> Может основное правило (ну которая в nat) перебивает эту
Нет. ты сам можешь указать, какие пакеты, откуда и куда и с какого интерфейса..
Читай внимательно, а строчку вбивай с соблюдением БОЛЬШИЕ или маленьке буквы.. 8-))
>>> Можети это правило только локальные пакеты дропает. Таким образом

[abdu]

iptables -I INPUT -i eth0 -s 192.168.120.2 -j DROP
Вот строчка на шлюзе, я ее запускаю. Дропает пакеты только на себя, остальные пропускает
eth0 - внутренний интерфейс
eth1 - внешний
Из кэша не может, я каждый раз новые адреса даю, да и пингую каждый раз

Непонятно. У тебя он что не проксирующий? Т. е в настройках експлорера у Васи не стоит "использовать прокси" и адрес 192,168,0,1 ??
а DNS сервером кто стоит у Васи?

После добавления строчки дай команду iptables -L -v

первой строкой должна быть такого вида

pkts bytes target prot opt in out source destination
0 0 DROP all -- eth0 any 192.168.0.xxx anywhere


что значит что ЛЮБЫЕ пакеты от 192.168.0.xxx приходящие на eth0 по любому протоколу, с любым адресом назначения дропаются.

Плях.. я своих пользователей сквидом рулю.

[abdu]

Он у меня не проксирующий, в настройках эксплорера ничего нет, просто в сетевых настройках стоит шлюз - 192.168.120.1, а DNS-ы провайдерские из внешней сетки
По команде iptables -L -v все как у тебя, но инет у меня работает!!!

[Borland]

All
Перекинуто в Пингвинятник.