» Poradna » Programy

Linux a omezení připojení na určitých PC k Internetu

 |   | 

Ahoj! Potřeboval bych poradit. Ve firemní síti používáme jako proxy server Linux Mandrake 10 a jako poštovní server Postfix. Potřeboval bych omezit přístup některých PC v síti na Internet, ale tak, aby bylo možné normálně používat e-mail. Tady v poradně jsem narazil na radu ohledně upravení IP Tables. Zkusil jsem, ale problém byl v tom, že pokud jsem zakázal danou IP adresu, přestala fungovat na dotyčném PC i pošta. Nevíte jak bych to mohl vyřešit? Ideální by bylo, kdyby to šlo nějak přes Webmina (jsem v Linuxu začátečník). Díky za rady.

Odpovědi na otázku

 |   | 

webmin ma rozhrani na nastavovani squid-a. Zde je mozno povolit jen urcite IP adresy. Pokud ale pouzivas preklad adres (NAT) a ne proxy, melo by to vypadat takhle:
iptables -I FORWARD -s IP_ADRESA_CO_NESMI_NA_NET -p tcp --dport 80 -j DROP
popr. zakazkat i https
iptables -I FORWARD -s IP_ADRESA_CO_NESMI_NA_NET -p tcp --dport 443 -j DROP

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Díky! Hned to jdu vyzkoušet...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Tak bohužel... Zkoušel jsem to jak jsi napsal, ale výsledek žádnej. PC má přístup stále na net. Změnu IPtables jsem zkoušel jak přes Webmina, tak i klasicky přes příkazovej řádek a nic...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Ono by to chtelo videt co tam ma ted za pravidla. Pripadne zakazat pristup i pres [proxy (pokud tam je treba squid).

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jo, máš pravdu! Bylo to tou proxy. Ještě na to musím kouknout...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jak to tak vidim, mas asi nastaveny jak NAT, tak i proxy. Tudiz zakazat nutno na obou mistech.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | 

Myslím že jednodušší a spolehlivější bude zakázat těm počítačům na rozhraní do lokální sítě všechno kromě připojení na server na porty které e-mail používá (25,110,143,993).

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Vytvoř si nový pravidlo "test" - seznam počítačů co můžou na NET, příklad pro dva počítače, můžeš přidávat další počítače. RETURN znamená že projdou, zbytek automaticky má smůlu. Můžeš i logovat. Pošta je automaticky povolená pro všechny:

IPT=`which iptables`
$IPT -N test
$IPT -A test -p tcp --dport 25 -j RETURN # SMTP server povolen pro všechny
$IPT -A test -p tcp --dport 110 -j RETURN # POP3 server povolen pro všechny
$IPT -A test -s 192.168.0.13 -m mac --mac-source 00:11:22:33:44:55 -j RETURN
$IPT -A test -s 192.168.0.17 -m mac --mac-source 00:11:00:33:00:55 -j RETURN
$IPT -A test -j LOG --log-prefix="Pokus o pripojeni: "
$IPT -A test -j DROP

No a pak jen to pravidlo zavoláš (eth1 - lokální síť, eth0 - internet):

$IPT -P FORWARD -j DROP
$IPT -A FORWARD -i eth1 -o eth0 -j test
$IPT -A FORWARD -i eth1 -o eth0 -j ACCEPT
$IPT -A FORWARD -m state --state NEW,ESTABLISHED -j ACCEPT

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Chyba! Já to píšu z hlavy - poslední řádek si oprav:

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jo a pokud tam máš proxy, tak předposlední řádek musí akceptovat přesměrování na Squida.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

No asi nemusí, toto je pro přímé připojení.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

A pro Squida:

IPT=`which iptables`
$IPT -t nat -N tst
$IPT -t nat -A tst -s 192.168.0.13 -m mac --mac-source 00:11:22:33:44:55 -j RETURN
$IPT -t nat -A tst -s 192.168.0.17 -m mac --mac-source 00:11:00:33:00:55 -j RETURN
$IPT -t nat -A tst -j LOG --log-prefix="Pokus o pripojeni: "
$IPT -t nat -A tst -j DROP

$IPT -t nat -A PREROUTING -i eth1 -o eth0 -p tcp --dport 80 -j tst
$IPT -t nat -A PREROUTING -i eth1 -o eth0 -j tcp --dport 80 REDIRECT --to-port 3128

Případně pro port 443 poslední dva řádky znova.

Snad jsem to napsal dobře - už jsem s tím dlouho nedělal.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Ahoj! Tak jsem tu zase... S vaší pomocí se mi podařilo zablokovat net na určitých PC při zachování funkčnosti pošty. Bohužel až teď mi došlo, že při tomhle omezení nefunguje ani aktualizace antiviru (AVG), páč to se taky připojovalo přes proxy. Nevíte jak vyřešit, aby se antivirák mohl aktualizovat? Asi to bude zase nějak s těma portama, co? Díky za každou další radu...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

a co tak stahovat aktualizacny balicek na jedno miesto v lokalnej sieti a aktualizovat si to budu tam?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jo, taky mě to napadlo, ale nemůžu zjistit, jak nastavit, aby se aktualizace automaticky ukládala do určitýho adresáře. Manuálně ji z www uložím, to není problém, ale automaticky nevim jak na to...

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: Omezení, Poštovní server




Určitě si přečtěte

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

** Microsoft představil nový tablet Surface Go ** Nový model zaujme nízkou cenou, ale schopnostmi zařízení Surface ** Microsoft nepoužil čip ARM, ale klasický procesor od Intelu 

Karel Javůrek | 116

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 36

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 140

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji