iptables запретить все кроме одного сайта[РЕШЕНО]

[AnrDaemon]

Такое делается через прозрачные прокси либо специальный DNS фильтр.

[fisher74]

Первое правило - все пакеты на входе убиваются
второе - то же самое на выходе.
В итоге, любой пакет пытающийся войти или выйти - убивается.
Потому система общаться вообще ни с кем не может.
Для запрета всего того, что не разрешено используется правило по умолчанию, которое задаётся коммандой -P

4 -ое правило - тоже неправильное. Параметр -s(ource) - указывает источник пакета, а когда пакет идёт по цепочке OUTPUT адрес ya.ru  у него является destination.
Ну и, как я уже говорил, не забыть разрешить обращаться к DNS

[AAXEE]

Всем большое спасибо! Все таки я это сделал!
fisher74, спасибо, твоя подсказка насчет того что я перепутал destination и source помогла.
И надо добавлять в таком порядке: разрешаем сайты, потом запрещаем все. Если пакет нашел себя в ACCEPT, то остальная часть таблицы не просматривается.

И вот решение, вдруг кому пригодится.

Код: [Выделить]

sudo iptables -t filter -A INPUT -p tcp -s ya.ru --dport http -j ACCEPT
sudo iptables -t filter -A OUTPUT -p tcp -d ya.ru --dport http -j ACCEPT
sudo iptables -t filter -A INPUT -p tcp --dport http -j DROP
sudo iptables -t filter -A OUTPUT -p tcp --dport http -j DROP


[Unreg]

Если уж приспичило делать white list на конечных системах, то каждые часов 6 дергать кроном нечто подобное

#!/bin/sh
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --sport 53 -j ACCEPT
WL="ya.ru mail.ru narod.ru google.com gmail.com yandex.st ssl.google-analystics.com"
for i in $WL; do
iptables -A INPUT -s $i -p tcp -m multiport --sports 80,443 -j ACCEPT
done
iptables -P INPUT DROP

более правильное решение - squid + squidguard на транзитном узле

[Mam(O)n]

Нельзя забывать, что некоторые домены (например тот же ya.ru) имеют несколько ip, и запись вида iptables -d имя_домена пропишет только первый попавшийся.

[fisher74]

Mam(O)n, проверяли же (я и проверял) - добавляются несколько правил с IP, которые выдаёт DNS

[Mam(O)n]

Действительно. Был не прав. Видать от старого роутера со cтарым iptables засело в голове это...

[Edik]

Тогда уж

iptables  -P INPUT DROP # Блокируем  все
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT  # Разрешаем установленные
iptables -A INPUT -p tcp -s ip.сайта.или.имя.сайта --sport 80 -j ACCEPT  #Разрешаем сайт по 80-му порту

Трафик весь заблокировался,а доступа к сайту как не было так и нет.

[fisher74]

Если сайт по доменному имени читается, то ещё нужно предусмотреть,чтобы он смог узнать по имени IP-адрес, а зачит нужно либо на клиентах в hosts нужные данные забить или открыть ещё и доступ к DNS-серверу

[Edik]

dl.sumdu.edu.ua сайт. Я так понял если в адресе сайта появится какое-то продолжение типа названия папки,то уже сайт не будет доступен?Мне нужно что бы только на 1 сайт можно было зайти.Как отменить ДРОП?Опишите попунктам для чайника пожалуйста,а то после Винды непривычно хоть и давно ей не пользуюсь.

[alexset]

Хорошая тема, и вроде всё решено, но столкнулся я с похожей задачей.

№ года назад это было реализовано.
3 интерфейса в сервере (внешний и 2 внутренних). Одним юзерам можно лазить везде, а вторым открывать 2-3 сайта и торговать на форексе.

IP Tables тогда настраивал не я, но всконе оно начало глючить сайт телетрейда перестал открываться (сайта мастерброк тогда ещё не было). Я узнал, что телетрейд как раз в те дни сменил хостинг и решил, что наверно iptables настроили по ip и поэтому не работает (сейчас знаю, что это не так, был указан домен).  Тогда я ничего не знал про IP tables. По тихому лимитрованных пользователей переключили на открытый интерфейс и так и жили, как тут снова вспомнили о разграничении доступа.


Задача закрыть на роутере все сайты кроме 3-4 и оставить доступ для торговой платформы metatrader4
Вначале о сайтах. НА напишу какие именно тк это очень важно.
Сайты которые должны работать:

dengi-info.com
teletrade.com.ua
masterbrok.com.ua
my.teletrade-dj.com
 самое ине
Далее интереснее:
dengi-info.com  - всегда хорошо работает при самом простом конфиге
teletrade.com.ua, masterbrok.com.ua, my.teletrade-dj.com открываются либо секунд через 30-40 (переходы по ссылкам сайта), либо быстро и шустро, то только на каком то одном компе (такие счастливые компы меняются), что самое интересное: сидишь за двумя мониторами. Пробуешь на одном - плохо. Пробуешь на втором - ЗАРАБОТАЛО! Но оба моника через РДП подключены к одной машине под разными пользователями. Перестаёт работать точно так-же ((. А деньши-инфо перестает открываться только если совсем фигню написать в конфиге.

Привожу конфиг и прошу помощи: тк нервы на исходе. Пробовал очень по разному, более стабильный вариант при текущем конфиге:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/bash

iptables -F
iptables -X

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A FORWARD -p tcp --dport 22 -j ACCEPT                 # открываем 22й

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT        # открываем 443й TCP для метатрадера
iptables -A FORWARD -p udp --dport 443 -j ACCEPT        # 443 UDP (не знаю зачем)
iptables -A FORWARD -p tcp --dport 4443 -j ACCEPT        # 4443 tcp (не знаю зачем)
iptables -A FORWARD -p udp --dport 4443 -j ACCEPT        # 4443 UDP (не знаю зачем)
iptables -A FORWARD -p icmp -j ACCEPT                    # пробую открыть пинг

iptables -A FORWARD -p udp --dport 53 -j ACCEPT          # 53й (не знаю зачем, открывали до мен)


iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # открываем трафик на интерфейсе и сети, где всё разрешено.
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT # открываем трафик на интерфейсе и сети, где всё разрешено.


### открываем DNS google START
iptables -A FORWARD -s 8.8.8.8 -j ACCEPT
iptables -A FORWARD -d 8.8.8.8 -j ACCEPT

iptables -A FORWARD -s 8.8.4.4 -j ACCEPT
iptables -A FORWARD -d 8.8.4.4 -j ACCEPT
### открывает DNS google  END


iptables -A FORWARD -d 213.179.249.131 -j ACCEPT # не знаю зачем, добавлял не я
iptables -A FORWARD -s 213.179.249.131 -j ACCEPT # не знаю зачем, добавлял не я
iptables -A FORWARD -d 213.179.249.132 -j ACCEPT # не знаю зачем, добавлял не я
iptables -A FORWARD -s 213.179.249.132 -j ACCEPT # не знаю зачем, добавлял не я


#### START  добавлялось и редактировалось мною
iptables -A FORWARD -p tcp  -s teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -d teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -s www.teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -d www.teletrade.com.ua -j ACCEPT
iptables -A FORWARD -p tcp -s 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -d 5.9.235.237 -j ACCEPT


iptables -A FORWARD -p tcp -s dengi-info.com -j ACCEPT # этот сайт и так работае хорошо, но IP на всяк случай добавил
iptables -A FORWARD -p tcp -d dengi-info.com -j ACCEPT
iptables -A FORWARD -p tcp -s 5.9.65.151 -j ACCEPT
iptables -A FORWARD -p tcp -d 5.9.65.151 -j ACCEPT

iptables -A FORWARD -p tcp --dport 80 -s www.masterbrok.com.ua -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d www.masterbrok.com.ua -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -s 91.193.165.170 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d 91.193.165.170 -j ACCEPT

iptables -A FORWARD -p tcp --dport 80 -s my.teletrade-dj.com -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d my.teletrade-dj.com -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -s 87.239.187.146 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d 87.239.187.146 -j ACCEPT

# счётчики и прочяя хня для/от сайтов

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 5.9.235.237 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 5.9.235.237 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 5.9.235.237 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 5.9.221.137 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 5.9.221.137 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 23.235.43.143 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 23.235.43.143 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 88.212.196.101 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 88.212.196.101 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 2.22.52.26 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 2.22.52.26 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 64.233.164.95 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 64.233.164.95 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 173.194.113.222 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 173.194.113.222 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 80 -s 87.239.187.146 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 87.239.187.146 -j ACCEPT

############## было открыто ооочень давно  START
iptables -A FORWARD -s 80.91.189.8 -j ACCEPT
iptables -A FORWARD -d 80.91.189.8 -j ACCEPT

iptables -A FORWARD -s 80.94.84.9 -j ACCEPT
iptables -A FORWARD -d 80.94.84.9 -j ACCEPT
iptables -A FORWARD -s 178.218.208.14 -j ACCEPT
iptables -A FORWARD -d 178.218.208.14 -j ACCEPT
iptables -A FORWARD -s 202.67.223.36 -j ACCEPT
iptables -A FORWARD -d 202.67.223.36 -j ACCEPT
iptables -A FORWARD -s 89.250.243.195 -j ACCEPT
iptables -A FORWARD -d 89.250.243.195 -j ACCEPT
iptables -A FORWARD -s 178.218.208.14 -j ACCEPT
iptables -A FORWARD -d 178.218.208.14 -j ACCEPT
iptables -A FORWARD -s 80.94.84.9 -j ACCEPT
iptables -A FORWARD -d 80.94.84.9 -j ACCEPT
iptables -A FORWARD -s 202.67.223.36 -j ACCEPT
iptables -A FORWARD -d 202.67.223.36 -j ACCEPT
iptables -A FORWARD -s 89.250.243.195 -j ACCEPT
iptables -A FORWARD -d 89.250.243.195 -j ACCEPT
iptables -A FORWARD -s 209.160.70.168 -j ACCEPT
iptables -A FORWARD -d 209.160.70.168 -j ACCEPT
iptables -A FORWARD -s 178.218.208.14 -j ACCEPT
iptables -A FORWARD -d 178.218.208.14 -j ACCEPT
iptables -A FORWARD -s 178.63.43.203 -j ACCEPT
iptables -A FORWARD -d 178.63.43.203 -j ACCEPT
iptables -A FORWARD -s 193.178.135.25 -j ACCEPT
iptables -A FORWARD -d 193.178.135.25 -j ACCEPT
iptables -A FORWARD -s 193.178.135.220 -j ACCEPT
iptables -A FORWARD -d 193.178.135.220 -j ACCEPT
iptables -A FORWARD -s 46.4.28.143 -j ACCEPT
iptables -A FORWARD -d 46.4.28.143 -j ACCEPT

############## было открыто ооочень давно  END



[AnrDaemon]

alexset, теме ТРИ ГОДА!
Не нашёл лучшего места для создания поста?

[fisher74]

alexset, а теперь посмотрите какие у Вас правила в итоге загружены, проанализируйте и поймите откуда появились "не знаю зачем, добавлял не я".
Именно поэтому здесь и просят показывать результирующие правила, а не скрипты которые их добавляют.

Кстати, нам  тоже покажите