Iptables и ограничение подсети, но разрешение одного ресурса по https

Автор REV7, 04 июля 2014, 19:41:44

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

REV7

04 июля 2014, 19:41:44 Последнее редактирование: 07 июля 2014, 18:39:22 от REV7
Доброго времени суток, ув. сообщество!)
Читал описание на opennet по iptables, но все с первого раза не осилил(
Уже день сижу, пробую...все-таки решил сюда написать, тут есть люди более знающие.
Суть: Есть подсеть, в которую скидываются все неугодные пользователи офиса. Ограничил ее по портам 80 и 443, но хочу сделать возможность ходить из нее по двум адресам, которые используют https, т.е. 443 порт. Не могу правильно составить правило, т.к. не так давно открыл для себя Мир linux, вообще.
Перенаправляю их с помощью портов на nginx:
Код Выделить
iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 80 -j REDIRECT --to-port 8000
Там крутится страничка статическая на html, мол хорош лаботрясничать, и две ссылки на почту, и сайт организации(админку бухгалтеров).
Пробовал, что-то вроде этого:
Код Выделить
iptables -t filter -A INPUT -s 192.168.16.0/24 -d some.site.com -p tcp -m tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d some.site.com -p tcp -m tcp --dport 443 -j ACCEPT, чтобы разрешить ходить на сайт, но увы.
Скорее всего, из-за того, что до этого стоит правило
Код Выделить
iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 443 -j REDIRECT --to-port 8000
В интернете примеры есть, но там в основном люди просто шлюзом управляют, а не подсетью конкретной.
Для может лучшего понятия, что я тут нагородил, пишу все правила для данной подсети.
Код Выделить

#to global net
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.16.0/24 -j SNAT --to-source xx.xxx.2xx.3x
#close port
iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 80 -j REDIRECT --to-port 8000
iptables -t nat -A PREROUTING -s 192.168.16.0/24  -p tcp --dport 443 -j REDIRECT --to-port 8000
#mot budet rabotat
#iptables -t filter -A INPUT -s 192.168.16.0/24 -d ip-адрес куда разрешить доступ -p tcp -m tcp --dport 80 -j ACCEPT
#iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d ip-адрес куда разрешить доступ -p tcp -m tcp --dport 80 -j ACCEPT

Еще пробовал, так:
Код Выделить
iptables -t nat -A POSTROUTING -s 192.168.16.0/24 -d ip-адрес куда разрешить доступ -o eth0 -j SNAT --to-source xx.xxx.2xx.3x
Спасибо, за ответы и надеюсь подскажите_)
P.S. И как Вы боретесь со Skype и p2p? Кроме использования squid?)

Alexey_F

#1
06 июля 2014, 05:20:53
При проверке пакета правила "проходятся" последовательно до тех пор, пока одно из них не задаст итоговое действие с пакетом.

В данном случае нужно разрешить обмен пакетами с необходимым адресом ДО правила о перенаправлении всего HTTP/HTTPS трафика на другой порт, т.к. цепочка PREROUTING обрабатывается раньше цепочки FILTER.

Со Skype, p2p и прочим - с помощью l7-filter.
Открыть содержимое (спойлер)
Хотя, на самом деле, с этим проще всего бороться с помощью ограничения на установку и запуск программ на рабочих станциях пользователей.
А, и да, такое ограничение желательно подкрепить ещё и формальным запретом на бумаге.
[свернуть]

REV7

#2
07 июля 2014, 18:38:45
Цитата: Alexey_F от 06 июля 2014, 05:20:53
В данном случае нужно разрешить обмен пакетами с необходимым адресом ДО правила о перенаправлении всего HTTP/HTTPS трафика на другой порт, т.к. цепочка PREROUTING обрабатывается раньше цепочки FILTER.

Открыть содержимое (спойлер)
Хотя, на самом деле, с этим проще всего бороться с помощью ограничения на установку и запуск программ на рабочих станциях пользователей.
А, и да, такое ограничение желательно подкрепить ещё и формальным запретом на бумаге.
[свернуть]

Спасибо за ответ!)
Про мессенджеры и документированное обоснование их заперта в данном предприятии, на бумаге - бумага есть (с этим подсуетились раньше), утверждена именно для этого отдела, и входит в неотъемлемый перечень сопровождающих документов на ряду со служебками вроде "не разрешается приносить из дома роутер и использовать..."

Alexey_F

#3
08 июля 2014, 17:15:04
Рад, что удалось помочь.

Кстати да, как там оно? Работает так, как хотелось?
[ot]
Открыть содержимое (спойлер)
Запрета на роутеры может оказаться недостаточно - находясь за городом, я частенько использую для этого телефон, если беру с собой ноутбук без встроенного GSM-модема.
Телефон работает в роли GSM-модема через bluetooth, т.к. Wi-Fi в нём нет, да и энергию Wi-Fi потреблял бы сильнее.
Правда, как мне кажется, это уже более сложное для "простого пользователя" решение, и представляется маловероятным, что люди будут так делать.
[свернуть]
[/ot]

REV7

#4
26 июля 2014, 15:38:02
Цитата: Alexey_F от 08 июля 2014, 17:15:04
Рад, что удалось помочь.

Кстати да, как там оно? Работает так, как хотелось?
[ot][/ot]
Вроде пока, что да) Только надо будет еще кое-чего изменить)
Извините, не мог ответить раньше т.к. долгое время был занят(
спасибо Вам, за советы)
Печать
Вверх Страницы1
Действия пользователя