запретить доступ к локальным реурсам IPTABLES

[Nagohak]

подскажите правило, нужно к примеру  ip 192.168.0.252 закрыть доступ к локальным ресурсам, чтобы имел только доступ в инет. Инет я ему настроил через белый список. Теперь хочется все перекрыть локальное.

[ksa]

Во-первых, как организован доступ в интернет. А во-вторых, к каким именно локальным ресурсам нужно закрыть доступ.

[Nagohak]

Во-первых, как организован доступ в интернет. А во-вторых, к каким именно локальным ресурсам нужно закрыть доступ.

инет прозрачный прокси. К локальным, ну вообще бы наглухо локалку прекрыть.
что-то не получается, вот так пробовал:
iptables -I INPUT -s 192.168.0.252 DROP
iptables -I INPUT -s 192.168.0.252 -m multiport --dports 80,8080 -j ACCEPT

[asy]

инет прозрачный прокси. К локальным, ну вообще бы наглухо локалку прекрыть.
что-то не получается, вот так пробовал:
iptables -I INPUT -s 192.168.0.252 DROP
iptables -I INPUT -s 192.168.0.252 -m multiport --dports 80,8080 -j ACCEPT

А локальные ресурсы - это какие ? Они точно за роутером ? Или они в той же IP-сети ?

[berkut_174]

А может просто удалить пакеты samba-client и nfs-client...

[Nagohak]

инет прозрачный прокси. К локальным, ну вообще бы наглухо локалку прекрыть.
что-то не получается, вот так пробовал:
iptables -I INPUT -s 192.168.0.252 DROP
iptables -I INPUT -s 192.168.0.252 -m multiport --dports 80,8080 -j ACCEPT

А локальные ресурсы - это какие ? Они точно за роутером ? Или они в той же IP-сети ?

в той же сети

[asy]

в той же сети

Тогда никак: трафик ходит напрямую, шлюз/сервер не используется. Если, конечно, это не случай, когда в сервере куча сетевых карт, собранная в бридж, и каждый клиент не подключен к своей карте. Ну или это же не реализовано через 802.1q.

[Nagohak]

Не понял всмысле сервер не используется. У мня 2 сервера, 1 шлюз интернет и самба хранилище+jabber(192.168.0.1) и 2 NAS Server(192.168.0.2) c с видео наблюдением, ну и около 150 компов в сети. Все компы ходят в нет через проксю, ну и пользуются локальными ресурсами. А вот 1 комп хотелось поставить для общего пользования чисто для интернета. Вот и хотел прекрыть им все локальные доступы. Чтобы не лезли куды не надо. 

[asy]

Не понял всмысле сервер не используется.

В прямом. Компьютеры между стобой напрямую трафик гоняют, а не через шлюз.
То есть, на шлюзе можно только доступ к ресурсам шлюза ограничить. А на NAS он всё равно попадёт, и на 150 компов тоже, если там что-то расшарено. Надо этот компьютер в отдельную сеть выводить, как минимум, а по хорошему - на отдельную сетевую карту шлюза, чтобы и замена IP на IP из рабочей сети не помогла в локалку попасть. Сетевую карту можно заменить использованием 802.1q, который я уже упоминал. Но это если коммутаторы поддерживают.

[Nagohak]

Не понял всмысле сервер не используется.

В прямом. Компьютеры между стобой напрямую трафик гоняют, а не через шлюз.
То есть, на шлюзе можно только доступ к ресурсам шлюза ограничить. А на NAS он всё равно попадёт, и на 150 компов тоже, если там что-то расшарено. Надо этот компьютер в отдельную сеть выводить, как минимум, а по хорошему - на отдельную сетевую карту шлюза, чтобы и замена IP на IP из рабочей сети не помогла в локалку попасть. Сетевую карту можно заменить использованием 802.1q, который я уже упоминал. Но это если коммутаторы поддерживают.

Спасибо. Я вот думаю, если поставить роутер он отделит этот комп, ну и наверно можно в самом роутере запрет поставить. Ладно спасибо всем, буду думать.