The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables и счетчики"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables и счетчики"  +/
Сообщение от uan email(ok) on 22-Дек-11, 11:52 
Здравствуйте.
Имеется ряд рабочих станций, с которых запрещён доступ в интернет.
Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом:
iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx -j SNAT --to-source 195.184.yyy.yyy
Где 195.184.xxx.xxx - адрес веб-сервера, 195.184.yyy.yyy - адрес шлюза ЛВС.
На сайте расположены счетчики, типа mail.ru, rambler.ru, ...
А у них целые пулы адресов.
Вопрос. Как мне сделатьтак, чтобы пользователи ЛВС могли быстро открывать сайт компании? Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими словами как мне узнать диапазон IP для каждого счетчика и прописать в iptables? Или как динамически можно преобразовать имя в ip для создания правила на лету?
Всем заранее спасибо.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables и счетчики"  +/
Сообщение от Andrey Mitrofanov on 22-Дек-11, 12:35 
> Имеется ряд рабочих станций, с которых запрещён доступ в интернет.
> Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом:
> iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx
> -j SNAT --to-source 195.184.yyy.yyy
> Чтобы не было задержки при соединении

Предлагаю

-t filter -I FORWARD -p tcp -m iprange --src-range 192.168.1.10-192.168.1.20 \! -d 195.184.xxx.xxx -j REJECT --reject-with tcp-reset

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables и счетчики"  +/
Сообщение от 1 (??) on 22-Дек-11, 12:41 
>[оверквотинг удален]
> -j SNAT --to-source 195.184.yyy.yyy
> Где 195.184.xxx.xxx - адрес веб-сервера, 195.184.yyy.yyy - адрес шлюза ЛВС.
> На сайте расположены счетчики, типа mail.ru, rambler.ru, ...
> А у них целые пулы адресов.
> Вопрос. Как мне сделатьтак, чтобы пользователи ЛВС могли быстро открывать сайт компании?
> Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими
> словами как мне узнать диапазон IP для каждого счетчика и прописать
> в iptables? Или как динамически можно преобразовать имя в ip для
> создания правила на лету?
> Всем заранее спасибо.

я бы сделал что то подобное в отдельной цепочке переход в которую в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке:
iptables -A check -d {локалка} -j RETURN
iptables -A check -d 195.184.xxx.xxx  -j RETURN
iptables -A check -p tcp -j REJECT --reject-with tcp-reset

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "iptables и счетчики"  +/
Сообщение от uan email(ok) on 22-Дек-11, 14:51 
ОК.
Я тоже подумал про отдельную цепочку. Спасибо. Буду пробовать.

>[оверквотинг удален]
>> Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими
>> словами как мне узнать диапазон IP для каждого счетчика и прописать
>> в iptables? Или как динамически можно преобразовать имя в ip для
>> создания правила на лету?
>> Всем заранее спасибо.
> я бы сделал что то подобное в отдельной цепочке переход в которую
> в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке:
> iptables -A check -d {локалка} -j RETURN
> iptables -A check -d 195.184.xxx.xxx  -j RETURN
> iptables -A check -p tcp -j REJECT --reject-with tcp-reset

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "iptables и счетчики"  +/
Сообщение от PavelR (??) on 22-Дек-11, 17:57 

> я бы сделал что то подобное в отдельной цепочке переход в которую
> в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке:
> iptables -A check -d {локалка} -j RETURN

Вата. В плоской сети трафик локалки не будет проходить через рутер.
Указаний и намеков, что там много подсеток - нет. Правило - не нужно. Отдельные цепочки только ухудшат читаемость правил iptables.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "iptables и счетчики"  +/
Сообщение от PavelR (??) on 22-Дек-11, 17:53 

> Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом:
> iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx
> -j SNAT --to-source 195.184.yyy.yyy

nat.POSTROUTING не предназначен для фильтрования.


Правильно делать так:

iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -o ethX -j SNAT --to-source 195.184.yyy.yyy

Т.е. для всего трафика, выходящего через интерфейс провайдера делать нат.
В противном случае, трафик всё равно выходит в сторону провайдера, но с серым адресом отправителя - т.е. тупо засоряет каналы.

а уже в таблице filter - фильтровать:

#разрешить нужное:
iptables -t filter -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx -j ACCEPT

#запретить всё остальное, tcp - отдельно.
iptables -t filter -A FORWARD -s 192.168.0.0/16 -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A FORWARD -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable

И никаких отдельных цепочек не надо, не засоряйте список, не лишайте его понятности.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру