https://www.opennet.ru/openforum/vsluhforumID1/78143.html Суть сообственно такая: нужно клиентской тачке резать все айпи кроме одного. Инет тачке дается маскарадингом??? Плиз памагите пжлст!<br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#17 Fri, 11 Jan 2008 10:03:45 GMT Спасибо!<br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#16 Fri, 11 Jan 2008 03:01:51 GMT Предположим что машине 192.168.1.1 нужно разрешить доступ на ip 195.32.65.76 и никуда более. Также предположим что всем остальным машинам дается полный NAT. В таком случае удобней будет обрезать доступ в таблице filter, цепочке FORWARD( INPUT упомянутый ранее в треде не подходит), достаточно будет закрыть исходящее соединение. Также не будем ограничиваться только tcp<br>iptables -A FORWARD -s 192.168.1.1 -d ! 195.32.65.76 -j REJECT<br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#15 Thu, 10 Jan 2008 10:15:45 GMT Кто-нить скажите как это правило "iptables -A INPUT -p tcp ! 195.32.65.76 -j REJECT" привязать к конкретной машине??? Скажите плиз это самое важное! <br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#14 Wed, 09 Jan 2008 09:41:34 GMT а как вот это правило привезать к конкретной машине?<br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#13 Wed, 09 Jan 2008 00:07:27 GMT &gt;А мне не надо чтобы он переадресовывался на один и тот же <br>&gt;адрес. Надо чтобы просто браузер писал типа не ттакой страницы <br><br>Если вам надо именно так. То придется поднять локальный вебсервер и все запросы заворачивать на него, настройка такой связки несколько выходит за рамки простого вопроса на форуме. <br>Если просто используете правило iptables -A INPUT -p tcp ! 195.32.65.76 -j DROP, то браузер(и любые другие программы обращающиеся в сеть) будут очень долго ждать потом поругаются на timeout. Лучше DROP заменить на REJECT, в таком случае будет получать мгновенный ответ типа "сеть недоступна" на всех IP кроме указанного в правиле.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#12 Tue, 08 Jan 2008 16:25:56 GMT А мне не надо чтобы он переадресовывался на один и тот же адрес. Надо чтобы просто браузер писал типа не ттакой страницы<br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#11 Tue, 08 Jan 2008 16:19:30 GMT А типа дело в знаке отрицания! :)<br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#10 Tue, 08 Jan 2008 14:18:46 GMT З.Ы. <br>повторил чужое правило и сошибкой<br>iptables -A FORWARD -d ! 195.32.65.76 -j DROP<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/78143.html#9 Tue, 08 Jan 2008 14:15:48 GMT &gt;Я так понял это только дропается один айпи. Этож мне все мировые <br>&gt;сети надо загнать под это правило. Я ж с сума сойду! <br>&gt;) Надо что типа как на фтп серверах - Denyall а <br>&gt;потом allow from #айпи что-то типа такого <br><br>нет, наоборот, дропает все ИП кроме одного<br>iptables -A FORWARD -p tcp ! 195.32.65.76 -j DROP<br>в этом случае клиент будет получать стандартный ответ браузера о недоступности запрашиваемого сервера (кроме разрешённого)<br>если написать правило<br>iptables -t nat -I PREROUTING -s $IP_CLIENTA -d 0.0.0.0/0 -j DNAT --to-destination 195.32.65.76<br>то клиент при запросе любого хоста будет попадать на указанный сервер (195.32.65.76) не получая сообщений об ошибке<br>