вечер добрый.
мне бы к утру решить вопрос. попросили помочь.
система fedora 10 или 11 - не важно. нужно разрешить доступ с компа буквально всего к нескольким ip.
на своей машине пытаюсь осилить. тупо ставлю.
iptables -P OUTPUT DROP
iptables -A OUTPUT -d 77.88.21.11 -j ACCEPT
в браузере забираю ip - пишет yandex.ru и не грузит нифига(.
пингуется и все.
плиз, хелп.
ip tables разрешить один ip
Модераторы: SLEDopit, Модераторы разделов
-
Mage-Warrior
- Сообщения: 869
- Статус: Семь раз понюхай, один раз откуси!
- ОС: SlackWare 12.1
Re: ip tables разрешить один ip
Для исследования таких случаев внимательно изучается iptables в плане -j LOG. А заранее могу сказать, что запросы идут на разные ip и по разным адресам (img.yandex.net, yabs.yandex.ru, js.static.yandex.net, img-fotki.yandex.ru). Поэтому-то загрузиться страница нормально и не в состоянии.
А для чего нужно так сильно ограничивать выход? Там нужен доступ в yandex-почту? Блокировать с исключением по ip неудобно и некорректно, блокировку нужно производить с исключением по url. Очень многое в этом плане может squid. Может, кто-то подскажет что-то более простое...
В некоторых местах предлагается использовать iptables с модулем string. Не знаю, на сколько это оправдано в Вашем случае.
А для чего нужно так сильно ограничивать выход? Там нужен доступ в yandex-почту? Блокировать с исключением по ip неудобно и некорректно, блокировку нужно производить с исключением по url. Очень многое в этом плане может squid. Может, кто-то подскажет что-то более простое...
В некоторых местах предлагается использовать iptables с модулем string. Не знаю, на сколько это оправдано в Вашем случае.
*- Большинство проблем, дружок, завсегда покажет лог! -*
-
strah
- Сообщения: 283
- ОС: Freebsd, linux, Solaris.
-
Mage-Warrior
- Сообщения: 869
- Статус: Семь раз понюхай, один раз откуси!
- ОС: SlackWare 12.1
Re: ip tables разрешить один ip
*- Большинство проблем, дружок, завсегда покажет лог! -*
-
IMB
- Сообщения: 2567
- ОС: Debian
Re: ip tables разрешить один ip
Ну формально, насколько я знаю, можно обойтись и без запроса к DNS.
Может человек прописал данные в /etc/hosts иди кешируюший сервер с необходимыми данными.
Может человек прописал данные в /etc/hosts иди кешируюший сервер с необходимыми данными.
-
Mage-Warrior
- Сообщения: 869
- Статус: Семь раз понюхай, один раз откуси!
- ОС: SlackWare 12.1
Re: ip tables разрешить один ip
Понятно, что изначальные условия неизвестны, но судя по тому, что человек в адресной строке все-таки вводит ip, /etc/hosts не содержит нужных данных и сервер DNS так же не имеет место быть. Дожидаемся ответа топикстартера.
*- Большинство проблем, дружок, завсегда покажет лог! -*
-
kadavrUh
- Сообщения: 10
Re: ip tables разрешить один ip
спасибо за ответы)
вроде уже не надо) - там чтото пожалели дефачек.
но разобраться хочется - вдруг опять решат блочить) -у них стоит федора.
про dns - не совсем понял.
1. я в строке адреса сайта(в браузере) вношу ip яндекса. ну какой-то там 77... и т.д. если я вношу ip - dns насколько я понимаю не нужен.
2. в итоге я решил блочить только конкретные сайты - одноклассники и вконтакте. все ок - блочится.
но! при перезагрузке не грузится service iptables. правила все сохраняются но служба не стартует(
все это я гонял на мандриве, насчет федоры не знаю, может там все ок будет
chkconfig проставил iptables уже все левелы начиная со второго - статус стоит вкл.
туплю но интересно) какже ее запускать при старте.
вроде уже не надо) - там чтото пожалели дефачек.
но разобраться хочется - вдруг опять решат блочить) -у них стоит федора.
про dns - не совсем понял.
1. я в строке адреса сайта(в браузере) вношу ip яндекса. ну какой-то там 77... и т.д. если я вношу ip - dns насколько я понимаю не нужен.
2. в итоге я решил блочить только конкретные сайты - одноклассники и вконтакте. все ок - блочится.
но! при перезагрузке не грузится service iptables. правила все сохраняются но служба не стартует(
все это я гонял на мандриве, насчет федоры не знаю, может там все ок будет
chkconfig проставил iptables уже все левелы начиная со второго - статус стоит вкл.
туплю но интересно) какже ее запускать при старте.