Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

Sie

https://593930.wb34atkl.asia/viewtopic.php?t=21652

Strona 2 z 2

Iptables przekierowanie na inny port

: 27 stycznia 2011, 10:50
autor: redelek
Witam.

Temat powrócił z facebook.com. Jednak szef chce żeby wyświetlała się jakaś strona z komunikatem, że dostęp zabroniony i jakieś tam informację.
Mam tak zrobione, ale za nic nie mogę dojść jak do łańcuch PREROUTING dodać przekierowanie dla komputerów z łańcucha FACEBOOK
FACEBOOK i w nim wpisy

Kod: Zaznacz cały

iptables -A FACEBOOK -m mac --mac-source 00:15:60:C2:EC:6F -j REJECT
iptables -A FACEBOOK -m mac --mac-source 00:1E:90:7C :D E:3A -j REJECT
Przekierowanie takie:

Kod: Zaznacz cały

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK
Zrobiłem na ruterze http://10.0.1.1/blokada_strony.html i nie wiem jak to zrobić dalej.
Możecie mnie naprowadzić tak jak ostatnio? Czytałem artykuł so iptables dla początkujących ale nie mogłem tego tam znaleźć

Dziękuję.

: 27 stycznia 2011, 23:52
autor: Bastian
A tak?

Kod: Zaznacz cały

iptables -A FACEBOOK -m mac --mac-source 00:15:60:C2:EC:6F -j DNAT 10.0.1.1
Szczerze powiem, że nie wiem czy to zadziała? Jeśli w ogóle to jedynie jak strona będzie w pliku index.html żeby się wywoływała przez:

Kod: Zaznacz cały

http://10.0.1.1

: 28 stycznia 2011, 11:27
autor: redelek
Niestety nie chce dodać takiej reguły:

Kod: Zaznacz cały

Bad argument '10.0.1.1
po dodaniu:

Kod: Zaznacz cały

-j DNAT --to 10.0.1.1
otrzymuję:

Kod: Zaznacz cały

iptables invalid argument

: 28 stycznia 2011, 13:20
autor: Bastian

Kod: Zaznacz cały

-j DNAT
zadziała dla łańcucha PREROUTING, musiałbyś przerobić regułki, coś na kształt:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -m mac --mac-source 00:15:60:C2:EC:6F -j  DNAT. --to 10.0.1.1:80

: 28 stycznia 2011, 14:53
autor: redelek
No super, to działa. Pytanie, czy jest możliwość zamiast:

Kod: Zaznacz cały

-m mac-source
podać łańcuch, w którym są wymienione komputery z mac adresami?
Jak możesz to popraw zamiast:

Kod: Zaznacz cały

-j --to DNAT to
powinno być:

Kod: Zaznacz cały

 -j DNAT --to

: 29 stycznia 2011, 10:41
autor: czarownik
Ja bym pomyślał o jakimś permanentnym proxy, np SQUID, lepiej nada się do tego niż iptables.

: 29 stycznia 2011, 11:26
autor: mariaczi
redelek pisze:No super, to działa. Pytanie, czy jest możliwość zamiast:

Kod: Zaznacz cały

-m mac-source
podać łańcuch, w którym są wymienione komputery z mac adresami?
Zainteresuj się narzędziem ipset.

: 29 stycznia 2011, 21:44
autor: Bastian
Jasne, poprawione. Co do komputerow z mac adresami to nie wiem czy dobrze rozumiem, ale podajesz w regule adres ip zrodla i jego mac. I masz wtedy weryfikacje po ip i mac adresie
Strefa czasowa UTC+01:00
Strona 2 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl