https://www.opennet.me/openforum/vsluhforumID10/4984.html Здравствуйте.<br>Имеется ряд рабочих станций, с которых запрещён доступ в интернет.<br>Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом:<br>iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx -j SNAT --to-source 195.184.yyy.yyy<br>Где 195.184.xxx.xxx - адрес веб-сервера, 195.184.yyy.yyy - адрес шлюза ЛВС.<br>На сайте расположены счетчики, типа mail.ru, rambler.ru, ...<br>А у них целые пулы адресов.<br>Вопрос. Как мне сделатьтак, чтобы пользователи ЛВС могли быстро открывать сайт компании? Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими словами как мне узнать диапазон IP для каждого счетчика и прописать в iptables? Или как динамически можно преобразовать имя в ip для создания правила на лету?<br>Всем заранее спасибо.<br> https://www.opennet.me/openforum/vsluhforumID10/4984.html#5 Thu, 22 Dec 2011 13:57:08 GMT <br>&gt; я бы сделал что то подобное в отдельной цепочке переход в которую <br>&gt; в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке: <br>&gt; iptables -A check -d {локалка} -j RETURN <br><br>Вата. В плоской сети трафик локалки не будет проходить через рутер. <br>Указаний и намеков, что там много подсеток - нет. Правило - не нужно. Отдельные цепочки только ухудшат читаемость правил iptables.<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/4984.html#4 Thu, 22 Dec 2011 13:53:00 GMT <br>&gt; Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом: <br>&gt; iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx <br>&gt; -j SNAT --to-source 195.184.yyy.yyy <br><br>nat.POSTROUTING не предназначен для фильтрования.<br><br><br>Правильно делать так:<br><br>iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -o ethX -j SNAT --to-source 195.184.yyy.yyy <br><br>Т.е. для всего трафика, выходящего через интерфейс провайдера делать нат.<br>В противном случае, трафик всё равно выходит в сторону провайдера, но с серым адресом отправителя - т.е. тупо засоряет каналы.<br><br>а уже в таблице filter - фильтровать:<br><br>#разрешить нужное:<br>iptables -t filter -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx -j ACCEPT<br><br>#запретить всё остальное, tcp - отдельно.<br>iptables -t filter -A FORWARD -s 192.168.0.0/16 -p tcp -j REJECT --reject-with tcp-reset<br>iptables -t filter -A FORWARD -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable<br><br><br><br>И никак https://www.opennet.me/openforum/vsluhforumID10/4984.html#3 Thu, 22 Dec 2011 10:51:18 GMT ОК.<br>Я тоже подумал про отдельную цепочку. Спасибо. Буду пробовать.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt; Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими <br>&gt;&gt; словами как мне узнать диапазон IP для каждого счетчика и прописать <br>&gt;&gt; в iptables? Или как динамически можно преобразовать имя в ip для <br>&gt;&gt; создания правила на лету?<br>&gt;&gt; Всем заранее спасибо.<br>&gt; я бы сделал что то подобное в отдельной цепочке переход в которую <br>&gt; в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке: <br>&gt; iptables -A check -d {локалка} -j RETURN <br>&gt; iptables -A check -d 195.184.xxx.xxx -j RETURN <br>&gt; iptables -A check -p tcp -j REJECT --reject-with tcp-reset <br><br> https://www.opennet.me/openforum/vsluhforumID10/4984.html#2 Thu, 22 Dec 2011 08:41:42 GMT &gt;[оверквотинг удален]<br>&gt; -j SNAT --to-source 195.184.yyy.yyy <br>&gt; Где 195.184.xxx.xxx - адрес веб-сервера, 195.184.yyy.yyy - адрес шлюза ЛВС.<br>&gt; На сайте расположены счетчики, типа mail.ru, rambler.ru, ...<br>&gt; А у них целые пулы адресов.<br>&gt; Вопрос. Как мне сделатьтак, чтобы пользователи ЛВС могли быстро открывать сайт компании? <br>&gt; Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими <br>&gt; словами как мне узнать диапазон IP для каждого счетчика и прописать <br>&gt; в iptables? Или как динамически можно преобразовать имя в ip для <br>&gt; создания правила на лету?<br>&gt; Всем заранее спасибо.<br><br>я бы сделал что то подобное в отдельной цепочке переход в которую в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке:<br>iptables -A check -d {локалка} -j RETURN<br>iptables -A check -d 195.184.xxx.xxx -j RETURN<br>iptables -A check -p tcp -j REJECT --reject-with tcp-reset<br><br> https://www.opennet.me/openforum/vsluhforumID10/4984.html#1 Thu, 22 Dec 2011 08:35:21 GMT &gt; Имеется ряд рабочих станций, с которых запрещён доступ в интернет.<br>&gt; Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом: <br>&gt; iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx <br>&gt; -j SNAT --to-source 195.184.yyy.yyy <br>&gt; Чтобы не было задержки при соединении<br><br>Предлагаю<br><br>-t filter -I FORWARD -p tcp -m iprange --src-range 192.168.1.10-192.168.1.20 \! -d 195.184.xxx.xxx -j REJECT --reject-with tcp-reset<br>