Početak›Forumi›Linuks›Linuks umrežavanje›selektivni pristup Internetu
- This topic has 11 odgovora, 4 glasa, and was last updated 19 years, 8 months ranije by popeye.
-
AutorČlanci
-
18. jul 2004. u 1:03 pm #20337arunachalaUčesnik
Naravno, to je to!
Hvala na pomoci.Ovde ispod je lista pravila za filter table:
************************************
*filter
FORWARD DROP
INPUT DROP
OUTPUT ACCEPT
-A INPUT -p tcp -m tcp -m state –tcp-flags SYN,ACK SYN,ACK –state NEW -j REJECT –reject-with tcp-reset
-A INPUT -p tcp -m tcp -m state ! –tcp-flags SYN,RST,ACK SYN –state NEW -j DROP
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -m state -d 192.168.0.47 –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -i eth0 -m tcp –dport 22 -j ACCEPT
-A INPUT -p tcp -i eth0 -m tcp –dport 113 -j ACCEPT
-A INPUT -p tcp -i eth0 -m tcp –dport 10000 -j ACCEPT
-A INPUT -p icmp -i eth0 -m icmp –icmp-type 8 -j ACCEPT
-A INPUT -p icmp -i eth0 -m icmp –icmp-type 11 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m state –tcp-flags SYN,ACK SYN,ACK –state NEW -j REJECT –reject-with tcp-reset
-A OUTPUT -p tcp -m tcp -m state ! –tcp-flags SYN,RST,ACK SYN –state NEW -j DROP
-A OUTPUT -p tcp -m tcp -m owner –dport 80 ! –uid-owner squid -j REJECT –reject-with tcp-reset
*************************************Nekoliko pojasnjenja:
Prvo, nisam uradio sve probe da bih video da li ima “kontraindikacija”, za sada to funkcionise u probnom okruzenju koje je postavljeno za test.
Zatim, ovo je veoma personalizovano resenje i sigurno nije svuda primenljivo (npr. udp se uopste ne elaborira jer nema potrebe ni za DNS)
Moram reci da mozda ovo ne bi bilo dovoljno da se postavi funkcionalni sistem za nekog ko ne poznaje malo bolje kako funkcionise netfilter ali s obzirom na primenu, ako neko bude imao potrebe za takvim resenjem, moglo bi da se postavi jedno uputstvo korak po korak, za installaciju kompletnog sistema, koje bi bilo upotrebljivo za sve.Popeye, hvala jos jednom, ovo je zaista ona karika u lancu koja je nedostajala.
(iako su lanci pre izvesnog vremena zamenjeni tabelama… 🙂 )18. jul 2004. u 1:19 pm #20338popeyeGlavni majstorZahvali Jeli07 🙂
Nisam najbolje shvatio šta želiš da postigneš (pojasnio si mi u poslednjoj poruci) te sam čekao da neko drugi utrči sa predlogom, a ti dodatno pojasniš. 😉
Primetio bih da je sadašnje rešenje funkcionalno, mada se ne praktikuje da korisnik radi na samom proxy serveru (to me je i zbunilo). Kako god, drago mi je da sad sve radi.
PS. Moja 666-ta poruka. Brrrr… 🙂
-
AutorČlanci
Moraš biti prijavljen da bi postavio komentar u ovoj temi.