Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: iptables подскажите варианты решений  (Прочитано 697 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн solmus

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Добрый день. Буду признателен если мы с вами проведем мини-консилиум.
Давайте представим что имеется proxy сервер на Ubuntu 10.04.2-server;
eth0 - сетевуха в интернет по ADSL(динамически ip от провайдера);
eth1 - сетевуха в сеть;

Стоит задача - закрыть возможность пользователям качать с использованием utorrent и подобных агрегатов. При всем при этом что бы добропорядочные пользователи не страдали.


Буду рад прочитать возвожные варианты решения проблемы. Не совсем ясен принцип действия torrent-программ.

Код писать не обязательно, достаточно просто рекомендаций.

Спасибо за внимание.

« Последнее редактирование: 22 Июня 2011, 16:05:33 от solmus »

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Подскажите возможные варианты решения
« Ответ #1 : 22 Июня 2011, 14:51:05 »
Грамотно настроить iptables и всё!
Be root, be different...

Оффлайн solmus

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Подскажите возможные варианты решения
« Ответ #2 : 22 Июня 2011, 14:56:49 »
да, мы работаем над этим. На что вы посоветуете обратить внимание?

Оффлайн jack_solovey

  • Активист
  • *
  • Сообщений: 916
  • Mate, и никаких Unity
    • Просмотр профиля
Re: Подскажите возможные варианты решения
« Ответ #3 : 22 Июня 2011, 14:59:00 »
да, мы работаем над этим. На что вы посоветуете обратить внимание?
Закрыть по умолчанию все порты из-в и открыть только нужные , 80, 21, и т.д.

Оффлайн Polovoy_diskriminator

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: Подскажите возможные варианты решения
« Ответ #4 : 22 Июня 2011, 15:24:17 »
Я немного поподробней опишу проблему в данной ситуации.
Есть прокси сервера на  Ubuntu 10.04.2 и Debian 5. На них висит три сетевые карты:
eth0 - смотрит в одну локальную сеть сеть (ip 192.168.8.3, маска подсети 255.255.248.0);
eth1 - смотрит в интернет (ip 192.168.1.1, маска подсети 255.255.252.0);
eth2 - смотрит во вторую локальную сеть (ip 192.168.111.3, маска подсети 255.255.255.0).
Настроен прозрачно squid3.0.
Iptables имеет следующий конфиг:
Цитировать
iptables -F
iptables -t nat -F

iptables -t nat -A PREROUTING -s 192.168.8.3 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.8.3:8080

iptables -t nat -A PREROUTING -s 192.168.111.3 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.111.3:8080

iptables -t nat -A POSTROUTING -j MASQUERADE
Интернет есть в двух сетях.  При это работает абсолютно все программы, даже те, которые не поддерживают настройку прокси. Настроен также lightsquid для сбора статистики. Получается, что при такой конфигурации программы, которые работают на любом другом порте, кроме 80 и 8080 в статистику не попадают и на них не действуют правила squid (например ограничение скорости). Особенно сильно это чувствуется при использовании торрентов.
Можно ли при использовании маскарадинга закрыть группу портов (например 1024-65000), чтобы ограничить использование торрентов, просмотр интернет телевидения и подобного рода?

 

Страница сгенерирована за 0.017 секунд. Запросов: 22.