Автор Тема: Блокировка портов и ip брандмауэром  (Прочитано 31200 раз)

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Нет. Пропал. Как только дал нагрузку с этого компа он выключился=(
Omnia me mecum porto

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Можно ли как нибудь откатить систему без перестановки?
Omnia me mecum porto

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Можно ли как нибудь откатить систему без перестановки?
Теоретически - всё возможно, на практике - надо иметь под рукой старые версии пакетов, уметь работать с командной строкой, и т.п.

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Спасибо, переустановил с нуля.

А порты и ip заблокировать можно в 5 сервере двумя способами

1. С помощью веб админки/Брандмауэр/Ручной режим управления (Не рекомендуется)
Нужно быть аккуратным с включением/отключением прокси.
То есть если вы перешли в "Ручной режим" с включенным прокси то при выключении его, у вас может пропасть интернет. Если перешли с выключенным и включите не будет работать статистика.

-i eth1 (сетевой интерфейс к которому применяется фильтр) -p tcp (протокол) --dport 110 (блокируемый открытый порт) -s 192.168.1.1 (источник пакета) -d vkontakte.ru (получатель пакета) -j DROP (заблокировать или ACCEPT открыть)

2. С помощью iptables (рекомендуется)
Ну тут лучше прочитать статью http://www.opennet.ru/docs/RUS/iptables/
Читать много, но полезно.
Спасибо.
Omnia me mecum porto

Оффлайн kon-dv

  • Завсегдатай
  • *
  • Сообщений: 722
    • Заметки учителя
    • Email
Цитировать
-i eth1 (сетевой интерфейс к которому применяется фильтр) -p tcp (протокол) --dport 110 (блокируемый открытый порт) -s 192.168.1.1 (источник пакета) -d vkontakte.ru (получатель пакета) -j DROP (заблокировать или ACCEPT открыть)
Вот это вы в какой раздел прописали?
Морфиус на меня обиделся...

Оффлайн Quake

  • Начинающий
  • *
  • Сообщений: 21
пробывал прописать эти правила в /etc/net/ifaces/default/fw/iptables/filter/forward, все равно сайт не блокирует.
куда их писать то ?

Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
Вообще, правильнее было бы блокировать на уровне INPUT. Если не получается через файлы в указанной вами директории, то можно через скрипт, созданный в /etc/rc.d с именем, например, blocksite (которому надо дать право на запуск через chmod +x /etc/rc.d/blocksite) и содержимым типа:
#!/bin/sh
iptables -A INPUT -p протокол -s айпи адрес источника пакета -d айпи адрес назначения --dport порт назначения либо --sport порт источника пакета -j DROP
критерии не все обязательны. Можно, например, по назначению (адресу) и порту блокировать. Другие варианты тоже возможны.

Оффлайн Quake

  • Начинающий
  • *
  • Сообщений: 21
все равно не блокирует сайт.
а в веб интерфейсе сервера, галочка должна стоять - Включить режим ручной настойки?
можете помочь написать правило блокирования вконтакте на диапазон адреса 192.168.11.1/24
(я не знаю как написать это )