Доброго времени суток! Не могу настроить данное правило на блокировку сайтов vkontakte, odnoklassniki и т.п.
Linux Router 2.6.32-42-generic-pae #95-Ubuntu
Машина используется как шлюз
В файле /etc/nat прописываю (x.x.x.x - внешний ip адрес, заменен для конфиденциальности)
Код: Выделить всё
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
#
iptables -A INPUT -i lo -j ACCEPT
#
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 1600 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d x.x.x.x --dport 3389 -j DNAT --to-destination 10.0.0.10:3389
iptables -t nat -A POSTROUTING -p tcp --dst 10.0.0.10 --dport 3389 -j SNAT --to-source x.x.x.x
iptables -t nat -A PREROUTING -p tcp -d x.x.x.x --dport 80 -j DNAT --to-destination 10.0.0.250:80
iptables -t nat -A POSTROUTING -p tcp --dst 10.0.0.250 --dport 80 -j SNAT --to-source x.x.x.x
iptables -t nat -A PREROUTING -p tcp -d x.x.x.x --dport 1600 -j DNAT --to-destination 10.0.0.250:1600
iptables -t nat -A POSTROUTING -p tcp --dst 10.0.0.250 --dport 1600 -j SNAT --to-source x.x.x.x
#
iptables -A FORWARD -i eth1 -s 10.0.0.0/24 -m string --string vk.com --algo kmp --to 65535 -j DROP
#
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
root@Router:~# iptables -nvL
Код: Выделить всё
Chain INPUT (policy ACCEPT 195 packets, 15407 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1018 236K ACCEPT all -- eth1 eth0 0.0.0.0/0 0.0.0.0/0
1102 476K ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1600
22 3965 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3389
0 0 DROP all -- eth1 * 10.0.0.0/24 0.0.0.0/0 STRING match "vk.com" ALGO name kmp TO 65535
0 0 REJECT all -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT 165 packets, 61998 bytes)
pkts bytes target prot opt in out source destination
Видно что команда принята, но через компьютер в локальной сети все так же, сайт открывается
Прошу подсказать направление