[Решено] Правило для отключения пользователей через IPTABLES
Гость 15 Августа, 2007 - 09:23
Имеется локальная сеть с выходом в интернет. На сервере под гентой идет учет трафика с лимитацией на месяц. При достижении этого лимита в iptables прописывается следующее привило:
-A INPUT -s IP-client -i eth0 -j DROP
При этом у пользователя блокируется все, кроме icq, он через некоторое время все равно выходит в интернет.
Как сделать чтобы icq клиенты не выходили в инет ?
»
- Для комментирования войдите или зарегистрируйтесь
А при чем тут
А при чем тут INPUT? Распиши подробнее: пользователи через proxy ходят? eth0 - локалка?
кстати никто не
кстати никто не знает, есть ли гуй к иптаблесу или хотябы веб интерфейс. если есть то какой.
М вам реально 28
М вам реально 28 лет? Не похоже. Вы влезаете в чужую тему и спрашиваете вещи которые решаются несколькоми кликами через поисковик.
kmyfirewall
kmyfirewall
Пользователи
Пользователи выходят через прокси
eth1 - глядит в интернет
eth0 - глядит в локальную сеть
Надо заблокировать интернет ресурсы у определенного пользователя с ip 192.168.0.5
Вот при этом правиле блокируется все кроме icq
-A INPUT -s 192.168.0.5 -i eth0 -j DROP
Этим правилом
Этим правилом блокируется доступ к этому копмьютеру, и то при условии что перед этим правилом нет правил ему противоречащих.
Тут слишком много нюансов нужно обьяснять - лучьше доку посмотри: http://www.opennet.ru/docs/RUS/iptables/
Одной цепочкой
Одной цепочкой инпут тебе не обойтись. Аська у тя ходит через прокси или по открытым портам?????
P.S. И вообще юзай анлим и забей на превышение трафика.
Пользователи у
Пользователи у тебя видимо не через прокси, а через NAT выходят. Учи мат. часть по iptables.
Intel P4/Xeon Extended MCE
#Вот Тебе такой вопрос, давай ты сюда отправишь пару тройку параметров:
#
netstat -apn && iptables -L && iptables -t nat -L
#
Intel P4/Xeon Extended MCE MSRs 3200 x2 SMP IBM Xseries 346 4Gb/chip video ATI Radeon QY 8Mb/
Portage 2.1.2.11 (default-linux/x86/2007.0/server, gcc-4.2.0, glibc-2.6.1, 2.6.22-gentoo-r2
Спасибо
Спасибо всем
Разобрался. Просто при блокировке по ip удаленные клиенты его вручную меняли.
Сейчас блокирую по мас:
INPUT -i eth0 -m mac --mac-source 00:13:D4:49:23:E3 -j DROP
А теперь
А теперь советую прикрутить что-нибудь от смены мака. Вообще нужно было прописать правила, где если IP не соотв. нужному MAC, то дропать клиента. А блокировать инет уже по IP. Ну или сейчас прописать табличку с MAC адресами с разрешением инета, а дефолтное действие цепочки запрет.
Тогда клиенты
Тогда клиенты будут тырить чужие айпишники и менять себе макадреса. Правда, эта проблема решается ручной раздачей дроздов, если подобное происходит в организации. А вообще, насколько помню, юзер без прав админа не может менять у себя айпи.
_______________________________________________________________________
Intel Core2Duo E6600 / 2 Gb RAM / NV GF 8800 GTX / x86_64-pc-linux-gnu
От такого есть
От такого есть один верный способ - привязка мака к номеру порта управляемого свитча =)
emerge webmin только
emerge webmin
только не спрашивай как его настроить (man webmin)