» Poradna » Programy

Linux a omezení připojení na určitých PC k Internetu

 |   | 

Ahoj! Potřeboval bych poradit. Ve firemní síti používáme jako proxy server Linux Mandrake 10 a jako poštovní server Postfix. Potřeboval bych omezit přístup některých PC v síti na Internet, ale tak, aby bylo možné normálně používat e-mail. Tady v poradně jsem narazil na radu ohledně upravení IP Tables. Zkusil jsem, ale problém byl v tom, že pokud jsem zakázal danou IP adresu, přestala fungovat na dotyčném PC i pošta. Nevíte jak bych to mohl vyřešit? Ideální by bylo, kdyby to šlo nějak přes Webmina (jsem v Linuxu začátečník). Díky za rady.

Odpovědi na otázku

 |   | 

webmin ma rozhrani na nastavovani squid-a. Zde je mozno povolit jen urcite IP adresy. Pokud ale pouzivas preklad adres (NAT) a ne proxy, melo by to vypadat takhle:
iptables -I FORWARD -s IP_ADRESA_CO_NESMI_NA_NET -p tcp --dport 80 -j DROP
popr. zakazkat i https
iptables -I FORWARD -s IP_ADRESA_CO_NESMI_NA_NET -p tcp --dport 443 -j DROP

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Díky! Hned to jdu vyzkoušet...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Tak bohužel... Zkoušel jsem to jak jsi napsal, ale výsledek žádnej. PC má přístup stále na net. Změnu IPtables jsem zkoušel jak přes Webmina, tak i klasicky přes příkazovej řádek a nic...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Ono by to chtelo videt co tam ma ted za pravidla. Pripadne zakazat pristup i pres [proxy (pokud tam je treba squid).

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jo, máš pravdu! Bylo to tou proxy. Ještě na to musím kouknout...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jak to tak vidim, mas asi nastaveny jak NAT, tak i proxy. Tudiz zakazat nutno na obou mistech.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | 

Myslím že jednodušší a spolehlivější bude zakázat těm počítačům na rozhraní do lokální sítě všechno kromě připojení na server na porty které e-mail používá (25,110,143,993).

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Vytvoř si nový pravidlo "test" - seznam počítačů co můžou na NET, příklad pro dva počítače, můžeš přidávat další počítače. RETURN znamená že projdou, zbytek automaticky má smůlu. Můžeš i logovat. Pošta je automaticky povolená pro všechny:

IPT=`which iptables`
$IPT -N test
$IPT -A test -p tcp --dport 25 -j RETURN # SMTP server povolen pro všechny
$IPT -A test -p tcp --dport 110 -j RETURN # POP3 server povolen pro všechny
$IPT -A test -s 192.168.0.13 -m mac --mac-source 00:11:22:33:44:55 -j RETURN
$IPT -A test -s 192.168.0.17 -m mac --mac-source 00:11:00:33:00:55 -j RETURN
$IPT -A test -j LOG --log-prefix="Pokus o pripojeni: "
$IPT -A test -j DROP

No a pak jen to pravidlo zavoláš (eth1 - lokální síť, eth0 - internet):

$IPT -P FORWARD -j DROP
$IPT -A FORWARD -i eth1 -o eth0 -j test
$IPT -A FORWARD -i eth1 -o eth0 -j ACCEPT
$IPT -A FORWARD -m state --state NEW,ESTABLISHED -j ACCEPT

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Chyba! Já to píšu z hlavy - poslední řádek si oprav:

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jo a pokud tam máš proxy, tak předposlední řádek musí akceptovat přesměrování na Squida.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

No asi nemusí, toto je pro přímé připojení.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

A pro Squida:

IPT=`which iptables`
$IPT -t nat -N tst
$IPT -t nat -A tst -s 192.168.0.13 -m mac --mac-source 00:11:22:33:44:55 -j RETURN
$IPT -t nat -A tst -s 192.168.0.17 -m mac --mac-source 00:11:00:33:00:55 -j RETURN
$IPT -t nat -A tst -j LOG --log-prefix="Pokus o pripojeni: "
$IPT -t nat -A tst -j DROP

$IPT -t nat -A PREROUTING -i eth1 -o eth0 -p tcp --dport 80 -j tst
$IPT -t nat -A PREROUTING -i eth1 -o eth0 -j tcp --dport 80 REDIRECT --to-port 3128

Případně pro port 443 poslední dva řádky znova.

Snad jsem to napsal dobře - už jsem s tím dlouho nedělal.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Ahoj! Tak jsem tu zase... S vaší pomocí se mi podařilo zablokovat net na určitých PC při zachování funkčnosti pošty. Bohužel až teď mi došlo, že při tomhle omezení nefunguje ani aktualizace antiviru (AVG), páč to se taky připojovalo přes proxy. Nevíte jak vyřešit, aby se antivirák mohl aktualizovat? Asi to bude zase nějak s těma portama, co? Díky za každou další radu...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

a co tak stahovat aktualizacny balicek na jedno miesto v lokalnej sieti a aktualizovat si to budu tam?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jo, taky mě to napadlo, ale nemůžu zjistit, jak nastavit, aby se aktualizace automaticky ukládala do určitýho adresáře. Manuálně ji z www uložím, to není problém, ale automaticky nevim jak na to...

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: Omezení, Poštovní server




Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku