S. FedorenkoЕсть комп 192 с Linux Mandrake 8.2
Я расшарил доступ к инету для локальной сети. Теперь есть доступ у всех, кто настроится на этот шлюз. Как прибить доступ для определенных IP адресов?

Я как то товарищу помогал фаервол на Мандрейк 10 ставить. Не знаю как в 8.2, но в
десятке это дело через ГУИ настраивалось и такое в iptables понаписало, что без
100 грамм не разберешься. Да я и не стал - просто прибил это фаервол и набросал
свой скрипт.

В самом простом случае можно так:

iptables -t nat -F POSTROUTING
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ${INET_INTERFACE} -s ${IP1} -j MASQUERADE
...
iptables -t nat -A POSTROUTING -o ${INET_INTERFACE} -s ${IPn} -j MASQUERADE

S. Fedorenkoвы не поняли сути.
У меня и так http - через SQUID, а почта, через файрвол. Мне бы только закрыть доступ через этот файрвол для некторых IP-шников
Я так полагаю, что этот пост мне ?

Знаете мы с мандрейщиками друг друга вообще плохо понимаем
Читаем:
автор
Есть комп 192 с Linux Mandrake 8.2
Я расшарил доступ к инету для локальной сети. Теперь есть доступ у всех, кто настроится на этот шлюз. Как прибить доступ для определенных IP адресов?

Что подразумевается под словом расшарил? Я понимаю это именно в смысле
маскарадинга, а не проксирования. То есть только один комп с реальным доступом в
интернет, а остальные этот доступ получают посредством заменой своих IP
адресов на IP адрес "интернетовского" компа. В этом смысле, если запустить то, что
я предложил, то полный доступ в Интернет (точнее доступ равный доступу
"интернетовского" компа) получат только копмы с IP-адресами ${IP1} ... ${IPn}, а
остальные компы будут посланы по известному адресу. Можно далее разграничить
доступ по портам, сделать прозрачное проксирование и т.д. Собственно, вам разве не
это надо?

Далее, что такое доступ к почте? Где эта почта? На расшаренном компе или где-то на
белом свете? Что нужно запретить забор или отправку этой почты? Или и то и другое?
Например команда:


не позволит использовать 25 (smtp) "расшаренного" компа компу с IP адресом 192.168.0.12, а команда


(использовал -I вместо -A чтобы вставить указанные правила первыми)

не позволит обратиться тому же компу к порту 25 на других компах, доступ к которым
осуществляется через "расшаренный" комп. И т.д.

Так в чем же суть?

P.S. Загруз у меня сейчас появился конкретный, потому не могу появляться раньше 16:00-17:00 по Москве
P.P.S. Сорри за болтливость - расслабляюсь после тяжелого выходного рабочего дня

S. FedorenkoПочта находится далеко в Интернете, причем забирать и отправлять её нужно с/на разные почтовые сервера (4 штуки). Если я использую в чистом виде сквид, и настраиваю машины в локалке работать с проксёй, то Outlook с этой проксёй работать не хочет. Проблема в том, что я мало понимаю в линуксе, нашел в окне настройки сети кнопку "Разделение доступа к Интернету" (ну по типу Windows). Нажал, ответил на все вопросы мастера, и вуаля. Настроил клиентские машины (DNS и шлюз указал IP этого самого линукса). Теперь все, кто настроит DNS и шлюз на этот комп, имеют доступ в инет.

Тогда получается, что суть я все таки понял правильно. По этой сути вы выполнили
что-то типа:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -F POSTROUTING

iptables -t nat -A POSTROUTING -o eth? -j MASQUERADE
или
iptables -t nat -A POSTROUTING -o eth? -j SNAT --to-source YOUR_INET_IP

и еще кучу всякой фигни.
( Посмотреть это можно будучи рутом командами
iptables -n -L
iptables -t mangle -n -L
iptables -t nat -n -L)

В данном случае доступ разрешен для всех и каждого. В моем
варианте предлагалось дать доступ только для определенных IP адресов, т.е. явно
указать IP source. Например

iptables -t nat -A POSTROUTING -o eth? -s 192.168.0.11 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth? -s 192.168.0.12 -j MASQUERADE

разрешит доступ в Интернет только компам 192.168.0.11 и 192.168.0.12
Здесь eth? это eth1, eth2 и т.д. - сетевой интерфейс, "смотрящий" в Интернет

Вообщем, если хотите реально управлять ситуацией, изучайте iptables, прибивайте
родной фаервол и делайте свой - это не так трудно как кажется.

P.S. Во я разболтался то

S. Fedorenko[root@smtigate root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp spt:bootpc dpt:bootps
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:bootpc
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- 192.168.11.1 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.11.0/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain nat (0 references)
target prot opt source destination

Попробуйте так:
Здесь подразумевается, что доступ в инет разрешен 192.168.11.10 и 192.168.11.11
и запрещен всем остальным. Не знаю заработает или нет - дома я сейчас, проверить
негде.

А насчет основам научить - это к google