debian.org / О Debian Где взять Debian Поддержка Уголок разработчика Новости Wiki

Автор Тема: Iptables и ограничение подсети, но разрешение одного ресурса по https  (Прочитано 2545 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн REV7

  • Новичок форума
  • Topic Author
  • Сообщений: 9
Доброго времени суток, ув. сообщество!)
Читал описание на opennet по iptables, но все с первого раза не осилил(
Уже день сижу, пробую...все-таки решил сюда написать, тут есть люди более знающие.
Суть: Есть подсеть, в которую скидываются все неугодные пользователи офиса. Ограничил ее по портам 80 и 443, но хочу сделать возможность ходить из нее по двум адресам, которые используют https, т.е. 443 порт. Не могу правильно составить правило, т.к. не так давно открыл для себя Мир linux, вообще.
Перенаправляю их с помощью портов на nginx:
iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 80 -j REDIRECT --to-port 8000Там крутится страничка статическая на html, мол хорош лаботрясничать, и две ссылки на почту, и сайт организации(админку бухгалтеров).
Пробовал, что-то вроде этого:
iptables -t filter -A INPUT -s 192.168.16.0/24 -d some.site.com -p tcp -m tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d some.site.com -p tcp -m tcp --dport 443 -j ACCEPT
, чтобы разрешить ходить на сайт, но увы.
Скорее всего, из-за того, что до этого стоит правило iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 443 -j REDIRECT --to-port 8000В интернете примеры есть, но там в основном люди просто шлюзом управляют, а не подсетью конкретной.
Для может лучшего понятия, что я тут нагородил, пишу все правила для данной подсети.
#to global net
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.16.0/24 -j SNAT --to-source xx.xxx.2xx.3x
#close port
iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 80 -j REDIRECT --to-port 8000
iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 443 -j REDIRECT --to-port 8000
#mot budet rabotat
#iptables -t filter -A INPUT -s 192.168.16.0/24 -d ip-адрес куда разрешить доступ -p tcp -m tcp --dport 80 -j ACCEPT
#iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d ip-адрес куда разрешить доступ -p tcp -m tcp --dport 80 -j ACCEPT
Еще пробовал, так:
iptables -t nat -A POSTROUTING -s 192.168.16.0/24 -d ip-адрес куда разрешить доступ -o eth0 -j SNAT --to-source xx.xxx.2xx.3xСпасибо, за ответы и надеюсь подскажите_)
P.S. И как Вы боретесь со Skype и p2p? Кроме использования squid?)
« Последнее редактирование: 07 Июль 2014, 18:39:22 от REV7 »
 

Оффлайн Alexey_F

  • Местный житель
  • ***
  • Сообщений: 153
При проверке пакета правила "проходятся" последовательно до тех пор, пока одно из них не задаст итоговое действие с пакетом.

В данном случае нужно разрешить обмен пакетами с необходимым адресом ДО правила о перенаправлении всего HTTP/HTTPS трафика на другой порт, т.к. цепочка PREROUTING обрабатывается раньше цепочки FILTER.

Со Skype, p2p и прочим - с помощью l7-filter.
Spoiler: ShowHide
Хотя, на самом деле, с этим проще всего бороться с помощью ограничения на установку и запуск программ на рабочих станциях пользователей.
А, и да, такое ограничение желательно подкрепить ещё и формальным запретом на бумаге.
 

Оффлайн REV7

  • Новичок форума
  • Topic Author
  • Сообщений: 9
В данном случае нужно разрешить обмен пакетами с необходимым адресом ДО правила о перенаправлении всего HTTP/HTTPS трафика на другой порт, т.к. цепочка PREROUTING обрабатывается раньше цепочки FILTER.

Spoiler: ShowHide
Хотя, на самом деле, с этим проще всего бороться с помощью ограничения на установку и запуск программ на рабочих станциях пользователей.
А, и да, такое ограничение желательно подкрепить ещё и формальным запретом на бумаге.


Спасибо за ответ!)
Про мессенджеры и документированное обоснование их заперта в данном предприятии, на бумаге - бумага есть (с этим подсуетились раньше), утверждена именно для этого отдела, и входит в неотъемлемый перечень сопровождающих документов на ряду со служебками вроде "не разрешается приносить из дома роутер и использовать..."
 

Русскоязычное сообщество Debian GNU/Linux


Оффлайн Alexey_F

  • Местный житель
  • ***
  • Сообщений: 153
Рад, что удалось помочь.

Кстати да, как там оно? Работает так, как хотелось?
[ot]
Spoiler: ShowHide
Запрета на роутеры может оказаться недостаточно - находясь за городом, я частенько использую для этого телефон, если беру с собой ноутбук без встроенного GSM-модема.
Телефон работает в роли GSM-модема через bluetooth, т.к. Wi-Fi в нём нет, да и энергию Wi-Fi потреблял бы сильнее.
Правда, как мне кажется, это уже более сложное для "простого пользователя" решение, и представляется маловероятным, что люди будут так делать.
[/ot]
 

Оффлайн REV7

  • Новичок форума
  • Topic Author
  • Сообщений: 9
Рад, что удалось помочь.

Кстати да, как там оно? Работает так, как хотелось?
[ot][/ot]
Вроде пока, что да) Только надо будет еще кое-чего изменить)
Извините, не мог ответить раньше т.к. долгое время был занят(
спасибо Вам, за советы)
 

Русскоязычное сообщество Debian GNU/Linux



Теги:
 

[РЕШЕНО] балансировка нагрузки iptables

Автор ihammers

Ответов: 1
Просмотров: 3950
Последний ответ 10 Апрель 2012, 13:00:46
от ihammers
arno-iptables-firewall и port forwarding

Автор IICUX

Ответов: 0
Просмотров: 1550
Последний ответ 24 Март 2013, 01:33:24
от IICUX
iptables, блокировка всего не впн трафика

Автор winame

Ответов: 1
Просмотров: 1778
Последний ответ 03 Август 2014, 14:05:52
от albb
iptables и NAT, не PAT

Автор baf

Ответов: 4
Просмотров: 1373
Последний ответ 06 Январь 2015, 12:46:08
от baf
Как идет пакет внутри хоста (правила iptables для openvpn-клиента) [РЕШЕНО]

Автор mexx

Ответов: 14
Просмотров: 1116
Последний ответ 15 Июнь 2017, 12:24:53
от mexx