iptables[РЕШЕНО]

[dormidont3]

Точно, там :) А что тогда в том файле, который указал я?

Это то, что читает, при старте, /etc/rc.d/init.d/iptables из пакета iptables. Но этот метод, по-умолчанию, в ALT Linux не используется достаточно давно. Можно и использовать, но надо помнить, что тут или, или. Если вместе, будет путаница.

OK, не буду, а тогда такой вопрос. На сколько я знаю команда

Код: [Выделить]

iptables -t nat -A PREROUTING -s 192.168.0.230 -p tcp --dport 80  -j REDIRECT --to-port 8081должна была добавить правило, но я не могу найти куда оно добавляется...

или можно в вебморде прописать в цепочке PREROUTING такую строчку

Код: [Выделить]

-s 192.168.0.230 -p tcp --dport 80  -j REDIRECT --to-port 8081

[asy]

OK, не буду, а тогда такой вопрос. На сколько я знаю команда

Код: [Выделить]

iptables -t nat -A PREROUTING -s 192.168.0.230 -p tcp --dport 80  -j REDIRECT --to-port 8081должна была добавить правило, но я не могу найти куда оно добавляется...

В ОЗУ. iptables -nL -t nat покажет.
service iptables save сохраняет текущую конфигурацию в /etc/sysconfig/iptables
Аналогичной команды для сохранения в /etc/net/ifaces/default/fw/iptables нет, кажется.

[dormidont3]

OK, не буду, а тогда такой вопрос. На сколько я знаю команда

Код: [Выделить]

iptables -t nat -A PREROUTING -s 192.168.0.230 -p tcp --dport 80  -j REDIRECT --to-port 8081должна была добавить правило, но я не могу найти куда оно добавляется...

В ОЗУ. iptables -nL -t nat покажет.

Точно, правило добавилось :) Но я полагаю после перезагрузки это правило будет скидываться, да?

[asy]

Но я полагаю после перезагрузки это правило будет скидываться, да?

Так и есть.

[dormidont3]

Ок, а как на счёт самогоп правила?

Будет такое правило работать?

И главный вопрос... Если правило заработает, то можно ли задать диапазон адресов или надо для каждого отделтьно писать?

[dormidont3]

О, ещё одна мысль. На сервере стоит прозрачный прокси squid на 3128 порту, мне перенаправления надо делать с порта 80 или 3128, что бы отсылать правильно на dansguardian?

[asy]

80, очевидно. А 3128 закрыть для всех, кроме dansguardian. Сервер один ? С localhost доступ оставить тогда, наверное... Но я dansguardian не использовал, в принципе, могу ошибаться в том, как они со squid живут.

[NickM]

О, ещё одна мысль. На сервере стоит прозрачный прокси squid на 3128 порту, мне перенаправления надо делать с порта 80 или 3128, что бы отсылать правильно на dansguardian?

Если squid до данса никакую роль не выполняет то: 80 - http порт, поэтому перенаправлять с 80, ведь сначала пакет придет на этот порт , но учтите что перенаправление должно быть в цепочке раньше чем перенаправление на сквидовский порт 3128

И главный вопрос... Если правило заработает, то можно ли задать диапазон адресов или надо для каждого отделтьно писать?

-s 192.168.1.1
IP-адрес(а) источника пакета. Адрес источника может указываться так, как показано в примере, тогда подразумевается единственный IP-адрес. А можно указать адрес в виде address/mask, например как 192.168.0.0/255.255.255.0, или более современным способом 192.168.0.0/24, т.е. фактически определяя диапазон адресов Как и ранее, символ !, установленный перед адресом, означает логическое отрицание, т.е. --source ! 192.168.0.0/24 означает любой адрес кроме адресов 192.168.0.x.

Точно, правило добавилось :) Но я полагаю после перезагрузки это правило будет скидываться, да?

не знаю хорошо это или плохо, но Я пишу правила сразу в /etc/net/ifaces/default/fw/iptables/nat

[ksa]

Как и ранее, символ !, установленный перед адресом, означает логическое отрицание, т.е. --source ! 192.168.0.0/24 означает любой адрес кроме адресов 192.168.0.x

Эта конструкция уже устарела. Ставить отрицание надо не перед адресом, а перед параметром, т.е. в примере выше правильно так:

Код: [Выделить]

! --source 192.168.0.0/24для шестой платформы это актуально, для пятой, скорее всего, нет.

[dormidont3]

Всё, в таблице nat/PREROUTING прописал для каждого ip правило

Код: [Выделить]

-s 192.168.1.2xx -p tcp --dport 80 -j REDIRECT --to-port 8081
И теперь если комп не зарегестрирован в то он получает адрес из диапазона 200-249 и его отправляет па порт 8081 на котором висит фильтр и интернет получается отфильтрованным, а если комп не зарегестрирован в dhcp, то он получает адрес тот который я прописал и он не попадает в данный диапазон и получает полный доступ :)

[asy]

Всё, в таблице nat/PREROUTING прописал для каждого ip правило

Код: [Выделить]

-s 192.168.1.2xx -p tcp --dport 80 -j REDIRECT --to-port 8081

Чтобы так не делать, диапазон следовало делить на нормальные подсети, а не на IP "от" и "до" от балды. Тогда можно было бы обойтись одной строкой.

Например, 200-249 - это 50 адресов. ближайший нормальный диапазон - 64 адреса.
Если начать не с 200, а со 192, то можно было бы написать -s 192.168.1.192/26
Это означало бы с 192.168.1.192 по 192.168.1.255.

[dormidont3]

Всё, в таблице nat/PREROUTING прописал для каждого ip правило

Код: [Выделить]

-s 192.168.1.2xx -p tcp --dport 80 -j REDIRECT --to-port 8081

Чтобы так не делать, диапазон следовало делить на нормальные подсети, а не на IP "от" и "до" от балды. Тогда можно было бы обойтись одной строкой.

Например, 200-249 - это 50 адресов. ближайший нормальный диапазон - 64 адреса.
Если начать не с 200, а со 192, то можно было бы написать -s 192.168.1.192/26
Это означало бы с 192.168.1.192 по 192.168.1.255.

Вот это круто, спасибо большое! Обязательно учту и переделаю в ближайшую свободную минутку! :)

[asy]

http://www.osp.ru/lan/1998/04/133320/  "Маска, я тебя знаю!" «Журнал сетевых решений/LAN», № 04, 1998
http://www.osp.ru/lan/1998/02/133156/  "Классы адресов и их маски" «Журнал сетевых решений/LAN», № 02, 1998