ограничение доступа по smtp, pop, icq, итд
zakharru 2 мая, 2007 - 17:31
Для доступа по http использ. squid, все остальное пускаю через FORWARD - iptables (в правилах нельзя перечислять группы ip адресов только диапазон или отдельный ip), чем ограничивать, bind ом не хочу, socks тоже не хочеться использовать
»
- Для комментирования войдите или зарегистрируйтесь
А какова
А какова задача? Насколько надо ограничить, что надо разрешить? Насколько серьезно ограничть (юзверя то ограничить просто, а гуру может и IP over DNS устроить, слышал я про такой канал.)
Да стоит задача
Да стоит задача просто ограничить пользователей по отдельным протоколам одной группе ip адресов только почта, второй - почта и icq, третьей и 1 и 2 (пока у меня стоит ISA 2004 планирую в ближайшем будущем переход на gentoo) - работает в тестовом режиме - все устраивает - особенно скорость работы по http - спасибо squid, iptables тоже прелесть но нет аналога multiport - только по ip адресам.
попробуйте -m
попробуйте -m iprange (--src-range, --dst-range)
Не тут диапазон
Не тут диапазон надо задавать, а мне просто перечисление ip по одному
можно написать
можно написать скрипт в котором указать в перечне те адреса которые ты хочешь закрыть.
а потом его запустить или поставить на автозапуск
например:
#!/bin/sh
IPT='/sbin/iptables'
INTIF=внутненний интерфейс
OPERATORS="1.1.1.1 2.2.2.2 3.3..."
for i in $OPERATORS;
do
$IPT -A INPUT -i $INTIF -p tcp -s $OPERATORS --dport 5190 -j DROP
done
ну или что-то в этом роде, думаю смысл понятен :) (может ошибся с ключами ... на скорую руку писал)
вот так
вот так правильней :)
#!/bin/sh
IPT='/sbin/iptables'
INTIF=внутненний интерфейс
OPERATORS="1.1.1.1 2.2.2.2 3.3..."
for i in $OPERATORS;
do
$IPT -A INPUT -i $INTIF -p tcp -s $i --dport 5190 -j DROP
done
Пока с
Пока с скриптами не дружу, но попробую
Модули iptables
Если у меня встроено все опции iptables то в скрипте необязательно подгружать же модули, да и как его поместить в init - чтобы выполнялся при загрузке
В init не нужно
В init не нужно помешать - можно поместить в /etc/conf.d/local.start
модули здесь не подгружаются просто в переменной IPT указано где находится команда iptables (если она находится в нестандартном месте или не указаны переменные окружения)
Почту - создай
Почту - создай локальный mail сервер. Интернет через http прокси. ICQ транспортом через jabber, сервер которого ставишь у себя. Больше никаким образом доступ в интернет не даешь.
На уровне файрвола это фиг зделаешь, разрешишь конектиться только на 80 порт - jabber умеет ходить и через http в poll режиме, через него можно в аську выходить. Ну и т.д. Обход всегда найдется.
Странная у тебя
Странная у тебя проблема. Вот скрипт файра, который писался мной в одной организации:
Он ограничивает по портам. Но если немного поднатужишься - усовершенствуешь ещё и до IP-адресов:)
По поводу
По поводу обхода такой проблемы не стоит фиг проскочишь a вот с скриптом я седня попробую где OPERATORS="1.1.1.1 2.2.2.2 3.3..." - дельная мысль.
MOOSE - у меня все работает давно просто, хочу ограничивать кроме http не применяя другие приблуды типа socks.