[Primipassi] iptables
a.podavini@mclink.it
a.podavini@mclink.it
Ven 13 Lug 2007 13:04:07 CEST
Devi inserire due regole che droppino gli accessi alla porta 80 e alla porta 443 (https) richiesti dalla macchina 110, PRIMA di accettare le richieste di tutte le altre macchine di quella che chiami "classe C" (meglio: "sottorete C") :
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -A FORWARD -s 10.10.0.0/16 -o eth0 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.110 -o eth0 -p tcp --dport 80 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.110 -o eth0 -p tcp --dport 443 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.0/16 -o eth0 -j ACCEPT
$IPTABLES -A FORWARD -s 0/0 -i eth0 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Ultima cosa: tu scrivi $IPTABLES: si presume che da qualche parte, prima
di queste specifiche, tu abbia un:
IPTABLES=iptables
Ciao
Aldo
Luckylu wrote:
>Praticamente sul PC ho 3 schede di rete.
>
>eth0, eth1, eth2
>
>la eth0 fà uscire in internet tutte le macchine della ditta. (tutte le porte)
>la eth1 e configurata in classe A (es: 10.10.10.xxx)
>e la eth2 è configurata per la Classe C. (es: 192.168.0.xxx)
>OK?
>
>allora un PC della classe C con IP 192.168.0.110 quando
>lancia internet explorer non deve poter navigare praticamente credo
>che va bloccata la porta 80 (WWW)
>mentre tuti gli altri possono navigare su internet.
>
>in questo momento è configurato cosi...
>
>echo "1" > /proc/sys/net/ipv4/ip_forward
>$IPTABLES -A FORWARD -s 10.10.0.0/16 -o eth0 -j ACCEPT
>$IPTABLES -A FORWARD -s 192.168.0.0/16 -o eth0 -j ACCEPT
>$IPTABLES -A FORWARD -s 0/0 -i eth0 -j ACCEPT
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
>Cosa dovrei fare per bloccare l' IP 192.168.0.110 ?
>
>Grazie a tutti...
>
>Luckylu
>
>
>
>
>At 08.33 09/07/2007, you wrote:
>
>
>
>
>>Luckylu wrote:
>>
>>
>>
>>>Ciao a tutti ho un problemino.....
>>>Linux Mandrake 9.1
>>>
>>>Con iptables devo escludere tramite indirizzo IP della macchina
>>>la porta 80 come posso fare?
>>>
>>>Per esempio
>>>
>>>iptables -A FORWARD -s 192.168.0.0/16 -o eth0 -j ACCEPT
>>>
>>>e il PC con IP 192.168.0.110 non deve poter aprire la porta 80 per navigare
>>>su internet.
>>>
>>>Come posso fare?
>>>Saluti a tutti da
>>>Luckylu
>>>
>>>
>>>
>>>
>>Non sei chiarissimo...
>>La macchina 110 deve poter uscire sulla porta 80 (i.e.: navigare) e le
>>altre no ?
>>E su tutte le altre porte possono uscire tutti ?
>>eth0 è l'unica interfaccia ? Non ne hai quindi una per la LAN (eth1) e
>>una per la WAN (eth0) ?
>>
>>In tali ipotesi:
>>
>>iptables -A FORWARD -s 192.168.0.110 -o eth0 -p tcp --dport 80 -j ACCEPT
>>iptables -A FORWARD -s 192.168.0.0/16 -o eth0 -p tcp --dport 80 -j DROP
>>iptables -A FORWARD -s 192.168.0.0/16 -o eth0 -j ACCEPT
>>
>>Ciao
>>Aldo
>>
>>
>>
>>
Maggiori informazioni sulla lista
primipassi