The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"медленно работает фильтрация через iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение [ Отслеживать ]

"медленно работает фильтрация через iptables"  +/
Сообщение от zabit email(ok) on 29-Мрт-10, 11:16 
всем привет.
имею офисную сеть.
необходимо открыть доступ только к определенным сайта.
пример
iptables -t nat -A POSTROUTING -s 192.168.0.2 -d 3dnews.ru -j MASQUERADE
работает, но открывается очень долго.
если указать правило без -d то открывается моментально но трафик не фильтруется.
как можно это решить в чем может быть проблема ??
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "медленно работает фильтрация через iptables"  +/
Сообщение от Tuz on 29-Мрт-10, 11:59 
DNS попробуйте вместо имени айпи адрес и порт

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "медленно работает фильтрация через iptables"  +/
Сообщение от zabit email(ok) on 29-Мрт-10, 12:44 
>DNS попробуйте вместо имени айпи адрес и порт

дело в том что dns имя преобразуется в ip автоматически.. хоть я и пишу -d 3dnews.ru получается -d 92.241.170.196
интернет все равно медленный

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "медленно работает фильтрация через iptables"  +/
Сообщение от reader (ok) on 29-Мрт-10, 13:03 
>>DNS попробуйте вместо имени айпи адрес и порт
>
>дело в том что dns имя преобразуется в ip автоматически.. хоть я
>и пишу -d 3dnews.ru получается -d 92.241.170.196
>никак не получается

если фильтровать по сайтам, то лучше для этих целей использовать прокси.

если фильтровать по ip , то это лучше делать в таблице фильтров.
а в вашем случае получается что вы делаете nat для того что идет на 92.241.170.196, а все остальное отправляется без nat, то есть ip источника не белый ваш ip, а серый.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "медленно работает фильтрация через iptables"  +/
Сообщение от zabit email(ok) on 29-Мрт-10, 18:50 
>[оверквотинг удален]
>>и пишу -d 3dnews.ru получается -d 92.241.170.196
>>никак не получается
>
>если фильтровать по сайтам, то лучше для этих целей использовать прокси.
>
>если фильтровать по ip , то это лучше делать в таблице фильтров.
>
>а в вашем случае получается что вы делаете nat для того что
>идет на 92.241.170.196, а все остальное отправляется без nat, то есть
>ip источника не белый ваш ip, а серый.

мне казалось что если открыть nat только на один сайт то этого должно хватить .. разве не так ??

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "медленно работает фильтрация через iptables"  +/
Сообщение от reader (ok) on 29-Мрт-10, 23:38 
>[оверквотинг удален]
>>если фильтровать по сайтам, то лучше для этих целей использовать прокси.
>>
>>если фильтровать по ip , то это лучше делать в таблице фильтров.
>>
>>а в вашем случае получается что вы делаете nat для того что
>>идет на 92.241.170.196, а все остальное отправляется без nat, то есть
>>ip источника не белый ваш ip, а серый.
>
>мне казалось что если открыть nat только на один сайт то этого
>должно хватить .. разве не так ??

этим правилом вы не открыли , а указали каким пакетам делать nat, остальные пакеты пойдут без nat, а вот где они умрут или потеряются это уже другой вопрос

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "медленно работает фильтрация через iptables"  +/
Сообщение от ALex_hha (ok) on 31-Мрт-10, 16:48 
А какой ДНС у клиента?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "медленно работает фильтрация через iptables"  +/
Сообщение от zabit (ok) on 03-Апр-10, 10:33 
>А какой ДНС у клиента?

днс локальный 192.168.0.1 он же шлюз

кто нить подскажите как открыть определенный сайт с помощью сквид??

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "медленно работает фильтрация через iptables"  +/
Сообщение от reader (ok) on 03-Апр-10, 12:21 
>>А какой ДНС у клиента?
>
>днс локальный 192.168.0.1 он же шлюз
>
>кто нить подскажите как открыть определенный сайт с помощью сквид??

создаете ACL - для кого разрешить
создаете ACL - куда разрешить
создаете разрешающее правило с указанием обоих ACL
создаете запрещающее правило для всех

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "медленно работает фильтрация через iptables"  +/
Сообщение от zerot email(??) on 05-Апр-10, 15:57 
проверить также, что -t nat -A FORWARD -s 192.168.0.2/32 -j ACCEPT, ACCEPT на всю цепочку - идея не очень хорошая
Таки попробовать указать IP получателя ЯВНО
Удачи
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру