Автор Тема: Блокировка портов и ip брандмауэром  (Прочитано 31199 раз)

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Через веб морду внес изменения в режим ручной настойки
Задача, заблокировать в контакте на определенных компах школы
для того мне пришлось для каждого компа прописать правило
в filter/FORWARD
-i eth1 -s 192.168.10.41 -d vkontakte.ru -j DROP
-i eth1 -s 192.168.10.42 -d vkontakte.ru -j DROP
...
-i eth1 -s 192.168.10.52 -d vkontakte.ru -j DROP
У меня такое смутное подозрение, что это не совсем правильно и как то можно задать диапазон, типа 192.168.10.41/32, но вот что именно после слеша писать?
И на все ли варианты ip можно написать диапазон таким образом?

Второй вопрос, по моему, не много сложнее.
Надо заблокировать возможность игры по сети в контер страйк и так далее
порт у них с 20000 по 28000
-i eth1 -p tcp --dport 20000:28000 -j DROP
-i eth1 -p udp --dport 20000:28000 -j DROP
-i eth1 -p tcp --sport 20000:28000 -j DROP
-i eth1 -p udp --sport 20000:28000 -j DROP
код в том же filter/FORWARD не помогает. То-есть почти, через инетовские сервера они теперь играть не могут.
А вот создав сервер внутри сети могут. Предположу что я не в ту таблицу пишу.
Omnia me mecum porto

MisHel64

  • Гость
Задача, заблокировать в контакте на определенных компах школы
для того мне пришлось для каждого компа прописать правило
в filter/FORWARD
-i eth1 -s 192.168.10.41 -d vkontakte.ru -j DROP
-i eth1 -s 192.168.10.52 -d vkontakte.ru -j DROP
У меня такое смутное подозрение, что это не совсем правильно и как то можно задать диапазон, типа 192.168.10.41/32, но вот что именно после слеша писать?
И на все ли варианты ip можно написать диапазон таким образом?
Нет не все. Рассказывать долго, а документации по этому море.
Вот первая ссылка выданная гуглем. _http://ru.wikipedia.org/wiki/%D0%91%D0%B5%D1%81%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%BE%D0%B2%D0%B0%D1%8F_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0%D1%86%D0%B8%D1%8F

Надо заблокировать возможность игры по сети в контер страйк и так далее порт у них с 20000 по 28000
-i eth1 -p tcp --dport 20000:28000 -j DROP
-i eth1 -p udp --dport 20000:28000 -j DROP
-i eth1 -p tcp --sport 20000:28000 -j DROP
-i eth1 -p udp --sport 20000:28000 -j DROP
код в том же filter/FORWARD не помогает. То-есть почти, через инетовские сервера они теперь играть не могут.
Три правила тут лишние.

А вот создав сервер внутри сети могут. Предположу что я не в ту таблицу пишу.
Трафик внутри сети ходит на прямую, не проходя через ваш компьютер, по этому и резать он ничего не буде, не зависимо от того, что и вкакую таблицу вы запишите.

Решение есть, но боюсь, что его стоимость вас не устроит. начинать читать можно отсюда: _http://www.xgu.ru/wiki/VLAN

« Последнее редактирование: 02.04.2010 21:41:27 от MisHel64 »

Оффлайн black_13

  • Завсегдатай
  • *
  • Сообщений: 657
  • Gentoo + Debian + ALT
    • diff.org.ua
    • Email
Цитировать
А вот создав сервер внутри сети могут.
А свичи в этой самой вашей сети обычные копеечные? Или может управляемые?  :D

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Цитировать
А вот создав сервер внутри сети могут.
А свичи в этой самой вашей сети обычные копеечные? Или может управляемые?  :D

Обычные, какие управляемые в школе=)
Omnia me mecum porto

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Сейчас зайдя в кабинет информатики, был в легкой панике.
Через один пк сидят в контакте. На остальных не войти. Еще вчера вечером ни кто не мог зайти.
И учитель пожаловался, что не все могут зайти на http://school-collection.edu.ru/catalog/pupil/?subject=19
Когда включен прокси(прозрачный режим).
Выдает следующую страницу
0 0

Пытался посмотреть лог прокси через веб админку выдает пустую страницу.

Где еще можно логи увидеть?
« Последнее редактирование: 06.04.2010 11:30:19 от Istorik »
Omnia me mecum porto

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Пытался посмотреть лог прокси через веб админку выдает пустую страницу.
Что то не то накосячил в Брандмауэр\Ручной режим управления
Снял ручное управление логи заработали.
Omnia me mecum porto

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Где еще можно логи увидеть?
/var/log/squid
Андрей Черепанов (cas@)

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Может тоже кому поможет.

Если вы начинаете править Брандмауэр в ручном режиме с включенным прокси, то при выключении прокси нужно и Брандмауэр менять вручную. На оборот та же ситуация.

Если я не прав поправьте.
Omnia me mecum porto

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Если вы начинаете править Брандмауэр в ручном режиме с включенным прокси, то при выключении прокси нужно и Брандмауэр менять вручную. На оборот та же ситуация.
Всё верно: если ручками залезли, но веб-интерфейс может работать неверно.
Андрей Черепанов (cas@)

Оффлайн black_13

  • Завсегдатай
  • *
  • Сообщений: 657
  • Gentoo + Debian + ALT
    • diff.org.ua
    • Email
Проблем то зайти через FreeProxy ;-)

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Проблем то зайти через FreeProxy ;-)
Так для этого логи и нужны=)
Если кто догадается, буду по одному прокси снимать=)
Omnia me mecum porto

Оффлайн black_13

  • Завсегдатай
  • *
  • Сообщений: 657
  • Gentoo + Debian + ALT
    • diff.org.ua
    • Email
Их тысячи .... И список меняется чуть ли не каждую минуту. Первое что приходит в голову - залочить выход в инет полностью и пустить только через свой прокси сервер .... но даже в этом варианте останется возможность ходить через web-proxy. Нету смысла с ними бороться, если не жаль времени - пусть тратят сколько влезет :)

Оффлайн Istorik

  • Завсегдатай
  • *
  • Сообщений: 117
  • Alt Linux 5.0.1
    • Email
Можно конечно, но пока не требуется. Про прокси они не догадались пока.
А вот что же делать с КС

Можно ли с Linux сервером сделать политики как в том же Win 2003
И где можно почитать про ввод в Linux домен win xp машин, возможно ли это вообще.
Omnia me mecum porto

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Можно ли с Linux сервером сделать политики как в том же Win 2003
И где можно почитать про ввод в Linux домен win xp машин, возможно ли это вообще.
Воспользуйтесь поиском по форуму. Уже обсуждали неоднократно.
Андрей Черепанов (cas@)

Оффлайн black_13

  • Завсегдатай
  • *
  • Сообщений: 657
  • Gentoo + Debian + ALT
    • diff.org.ua
    • Email
Цитировать
Про прокси они не догадались пока.
Тогда как же они ходят? Криво правила настроили на шлюзе?