On 10/21/2013 11:43 PM, Laurentiu STEFAN wrote: > Am 2 grupuri de IP-uri care unu teoretic ar trebui sa iasa liber si al > II-lea sa treaca prin proxy- > > Am: > > for s in ${GRUP2} > do > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s ${s} -d > ! ${RETEALOCALA} -j DNAT --to 192.168.0.254:8080 > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -s ${s} -d > ! ${RETEALOCALA} -j DNAT --to 192.168.0.254:8080 > done > > for s in ${GRUP1} > do > iptables -t nat -A POSTROUTING -o ${INTERNET} -s ${s} -j SNAT > --to-source ${NAT} > done > > Problema e ca cei din grupul 2 sa aiba acces si la restul serviciilor > externe (dns, pop, etc) > Am incercat sa pun iptables -t nat -A POSTROUTING -o ${INTERNET} -s ${s} -j > SNAT --to-source ${NAT} si in grupul2 dar nu mai trece prin proxy. adauga orice alte porturi vrei sa lasi la liber. sau pune intii o regula cu "! --dport NNN" -j ACCEPT si apoi abia una de redirectionare hint aditional: nu ai nevoie de reguli separate per port, -m multiport e exact destinat acestor cazuri
> > In alta ordine de idei, > Daca in grupul 2 adaug: > iptables -A FORWARD -p tcp -s ${s} --match multiport --dports 80,443,21 -m > string --string '.exe' --algo bm -j DROP > le va interzice descarcarea de fisiere .exe ? forteaza trecerea prin un proxy ( squid.. ) si blocheaza de acolo cu ACL-uri. E mult mai fiabil decit string match in iptables. > > Multam anticipat > -- Manuel Wolfshant linux registered user #131416 IT manager NoBug Consulting SRL A: Yes. >Q: Are you sure? >>A: Because it reverses the logical flow of conversation. >>>Q: Why is top posting frowned upon? _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug