Хорошая тема, и вроде всё решено, но столкнулся я с похожей задачей.
№ года назад это было реализовано.
3 интерфейса в сервере (внешний и 2 внутренних). Одним юзерам можно лазить везде, а вторым открывать 2-3 сайта и торговать на форексе.
IP Tables тогда настраивал не я, но всконе оно начало глючить сайт телетрейда перестал открываться (сайта мастерброк тогда ещё не было). Я узнал, что телетрейд как раз в те дни сменил хостинг и решил, что наверно iptables настроили по ip и поэтому не работает (сейчас знаю, что это не так, был указан домен). Тогда я ничего не знал про IP tables. По тихому лимитрованных пользователей переключили на открытый интерфейс и так и жили, как тут снова вспомнили о разграничении доступа.
Задача закрыть на роутере все сайты кроме 3-4 и оставить доступ для торговой платформы metatrader4
Вначале о сайтах. НА напишу какие именно тк это очень важно.
Сайты которые должны работать:
dengi-info.com
teletrade.com.ua
masterbrok.com.ua
my.teletrade-dj.com
самое ине
Далее интереснее:
dengi-info.com - всегда хорошо работает при самом простом конфиге
teletrade.com.ua, masterbrok.com.ua, my.teletrade-dj.com открываются либо секунд через 30-40 (переходы по ссылкам сайта), либо быстро и шустро, то только на каком то одном компе (такие счастливые компы меняются), что самое интересное: сидишь за двумя мониторами. Пробуешь на одном - плохо. Пробуешь на втором - ЗАРАБОТАЛО! Но оба моника через РДП подключены к одной машине под разными пользователями. Перестаёт работать точно так-же ((. А деньши-инфо перестает открываться только если совсем фигню написать в конфиге.
Привожу конфиг и прошу помощи: тк нервы на исходе. Пробовал очень по разному, более стабильный вариант при текущем конфиге:
#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT # открываем 22й
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT # открываем 443й TCP для метатрадера
iptables -A FORWARD -p udp --dport 443 -j ACCEPT # 443 UDP (не знаю зачем)
iptables -A FORWARD -p tcp --dport 4443 -j ACCEPT # 4443 tcp (не знаю зачем)
iptables -A FORWARD -p udp --dport 4443 -j ACCEPT # 4443 UDP (не знаю зачем)
iptables -A FORWARD -p icmp -j ACCEPT # пробую открыть пинг
iptables -A FORWARD -p udp --dport 53 -j ACCEPT # 53й (не знаю зачем, открывали до мен)
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # открываем трафик на интерфейсе и сети, где всё разрешено.
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT # открываем трафик на интерфейсе и сети, где всё разрешено.
### открываем DNS google START
iptables -A FORWARD -s 8.8.8.8 -j ACCEPT
iptables -A FORWARD -d 8.8.8.8 -j ACCEPT
iptables -A FORWARD -s 8.8.4.4 -j ACCEPT
iptables -A FORWARD -d 8.8.4.4 -j ACCEPT
### открывает DNS google END
iptables -A FORWARD -d 213.179.249.131 -j ACCEPT # не знаю зачем, добавлял не я
iptables -A FORWARD -s 213.179.249.131 -j ACCEPT # не знаю зачем, добавлял не я
iptables -A FORWARD -d 213.179.249.132 -j ACCEPT # не знаю зачем, добавлял не я
iptables -A FORWARD -s 213.179.249.132 -j ACCEPT # не знаю зачем, добавлял не я
#### START добавлялось и редактировалось мною
iptables -A FORWARD -p tcp -s teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -d teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -s www.teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -d www.teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -s 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -d 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -s dengi-info.com -j ACCEPT # этот сайт и так работае хорошо, но IP на всяк случай добавил
iptables -A FORWARD -p tcp -d dengi-info.com -j ACCEPT
iptables -A FORWARD -p tcp -s 5.9.65.151 -j ACCEPT
iptables -A FORWARD -p tcp -d 5.9.65.151 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -s www.masterbrok.com.ua -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d www.masterbrok.com.ua -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -s 91.193.165.170 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d 91.193.165.170 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -s my.teletrade-dj.com -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d my.teletrade-dj.com -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -s 87.239.187.146 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d 87.239.187.146 -j ACCEPT
# счётчики и прочяя хня для/от сайтов
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 5.9.221.137 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 5.9.221.137 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 23.235.43.143 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 23.235.43.143 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 88.212.196.101 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 88.212.196.101 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 2.22.52.26 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 2.22.52.26 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 64.233.164.95 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 64.233.164.95 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 173.194.113.222 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 173.194.113.222 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s 87.239.187.146 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 87.239.187.146 -j ACCEPT
############## было открыто ооочень давно START
iptables -A FORWARD -s 80.91.189.8 -j ACCEPT
iptables -A FORWARD -d 80.91.189.8 -j ACCEPT
iptables -A FORWARD -s 80.94.84.9 -j ACCEPT
iptables -A FORWARD -d 80.94.84.9 -j ACCEPT
iptables -A FORWARD -s 178.218.208.14 -j ACCEPT
iptables -A FORWARD -d 178.218.208.14 -j ACCEPT
iptables -A FORWARD -s 202.67.223.36 -j ACCEPT
iptables -A FORWARD -d 202.67.223.36 -j ACCEPT
iptables -A FORWARD -s 89.250.243.195 -j ACCEPT
iptables -A FORWARD -d 89.250.243.195 -j ACCEPT
iptables -A FORWARD -s 178.218.208.14 -j ACCEPT
iptables -A FORWARD -d 178.218.208.14 -j ACCEPT
iptables -A FORWARD -s 80.94.84.9 -j ACCEPT
iptables -A FORWARD -d 80.94.84.9 -j ACCEPT
iptables -A FORWARD -s 202.67.223.36 -j ACCEPT
iptables -A FORWARD -d 202.67.223.36 -j ACCEPT
iptables -A FORWARD -s 89.250.243.195 -j ACCEPT
iptables -A FORWARD -d 89.250.243.195 -j ACCEPT
iptables -A FORWARD -s 209.160.70.168 -j ACCEPT
iptables -A FORWARD -d 209.160.70.168 -j ACCEPT
iptables -A FORWARD -s 178.218.208.14 -j ACCEPT
iptables -A FORWARD -d 178.218.208.14 -j ACCEPT
iptables -A FORWARD -s 178.63.43.203 -j ACCEPT
iptables -A FORWARD -d 178.63.43.203 -j ACCEPT
iptables -A FORWARD -s 193.178.135.25 -j ACCEPT
iptables -A FORWARD -d 193.178.135.25 -j ACCEPT
iptables -A FORWARD -s 193.178.135.220 -j ACCEPT
iptables -A FORWARD -d 193.178.135.220 -j ACCEPT
iptables -A FORWARD -s 46.4.28.143 -j ACCEPT
iptables -A FORWARD -d 46.4.28.143 -j ACCEPT
############## было открыто ооочень давно END