Masz problemy z siecią bądź internetem? Zapytaj tu
redelek
Posty: 89 Rejestracja: 19 marca 2007, 13:45
Post
autor: redelek » 27 stycznia 2011, 10:50
Witam.
Temat powrócił z facebook.com. Jednak szef chce żeby wyświetlała się jakaś strona z komunikatem, że dostęp zabroniony i jakieś tam informację.
Mam tak zrobione, ale za nic nie mogę dojść jak do łańcuch PREROUTING dodać przekierowanie dla komputerów z łańcucha FACEBOOK
FACEBOOK i w nim wpisy
Kod: Zaznacz cały
iptables -A FACEBOOK -m mac --mac-source 00:15:60:C2:EC:6F -j REJECT
iptables -A FACEBOOK -m mac --mac-source 00:1E:90:7C :D E:3A -j REJECT
Przekierowanie takie:
Kod: Zaznacz cały
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK
Zrobiłem na ruterze
http://10.0.1.1/blokada_strony.html i nie wiem jak to zrobić dalej.
Możecie mnie naprowadzić tak jak ostatnio? Czytałem artykuł so iptables dla początkujących ale nie mogłem tego tam znaleźć
Dziękuję.
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09
Lokalizacja: Poznañ
Post
autor: Bastian » 27 stycznia 2011, 23:52
A tak?
Kod: Zaznacz cały
iptables -A FACEBOOK -m mac --mac-source 00:15:60:C2:EC:6F -j DNAT 10.0.1.1
Szczerze powiem, że nie wiem czy to zadziała? Jeśli w ogóle to jedynie jak strona będzie w pliku index.html żeby się wywoływała przez:
redelek
Posty: 89 Rejestracja: 19 marca 2007, 13:45
Post
autor: redelek » 28 stycznia 2011, 11:27
N iestety nie chce dodać takiej reguły:
po dodaniu:
otrzymuję:
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09
Lokalizacja: Poznañ
Post
autor: Bastian » 28 stycznia 2011, 13:20
zadziała dla łańcucha PREROUTING, musiałbyś przerobić regułki, coś na kształt:
Kod: Zaznacz cały
iptables -t nat -A PREROUTING -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -m mac --mac-source 00:15:60:C2:EC:6F -j DNAT. --to 10.0.1.1:80
redelek
Posty: 89 Rejestracja: 19 marca 2007, 13:45
Post
autor: redelek » 28 stycznia 2011, 14:53
N o super, to działa. Pytanie, czy jest możliwość zamiast:
podać łańcuch, w którym są wymienione komputery z mac adresami?
Jak możesz to popraw zamiast:
powinno być:
czarownik
Beginner
Posty: 240 Rejestracja: 22 maja 2009, 17:23
Post
autor: czarownik » 29 stycznia 2011, 10:41
Ja bym pomyślał o jakimś permanentnym proxy, np SQUID, lepiej nada się do tego niż iptables.
mariaczi
Member
Posty: 1343 Rejestracja: 08 lutego 2008, 12:58
Lokalizacja: localhost@śląskie
Post
autor: mariaczi » 29 stycznia 2011, 11:26
redelek pisze: N o super, to działa. Pytanie, czy jest możliwość zamiast:
podać łańcuch, w którym są wymienione komputery z mac adresami?
Zainteresuj się narzędziem
ipset .
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09
Lokalizacja: Poznañ
Post
autor: Bastian » 29 stycznia 2011, 21:44
Jasne, poprawione. Co do komputerow z mac adresami to nie wiem czy dobrze rozumiem, ale podajesz w regule adres ip zrodla i jego mac. I masz wtedy weryfikacje po ip i mac adresie