Largotik,
ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save?
root@proxy:/etc/network/if-up.d# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:25:22:ab:9c:54 brd ff:ff:ff:ff:ff:ff
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
link/ether 00:1b:21:9c:3e:9c brd ff:ff:ff:ff:ff:ff
inet 192.168.10.240/24 brd 192.168.10.255 scope global eth0
inet6 fe80::21b:21ff:fe9c:3e9c/64 scope link
valid_lft forever preferred_lft forever
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
link/ether 00:1b:21:9c:3e:9d brd ff:ff:ff:ff:ff:ff
inet 192.168.1.240/24 brd 192.168.1.255 scope global eth2
inet6 fe80::21b:21ff:fe9c:3e9d/64 scope link
valid_lft forever preferred_lft forever
5: eth3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
link/ether 00:1b:21:9c:3e:9e brd ff:ff:ff:ff:ff:ff
inet 213.138.69.130/29 brd 213.138.69.135 scope global eth3
inet 213.138.69.133/29 brd 213.138.69.135 scope global secondary eth3:0
inet6 fe80::21b:21ff:fe9c:3e9e/64 scope link
valid_lft forever preferred_lft forever
6: eth4: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:1b:21:9c:3e:9f brd ff:ff:ff:ff:ff:ff
7: gre0: <NOARP> mtu 1476 qdisc noop state DOWN
link/gre 0.0.0.0 brd 0.0.0.0
root@proxy:/etc/network/if-up.d# ip r
default via 213.138.69.129 dev eth3 metric 100
169.254.0.0/16 dev eth0 scope link metric 1000
192.168.1.0/24 dev eth2 proto kernel scope link src 192.168.1.240
192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.240
213.138.69.128/29 dev eth3 proto kernel scope link src 213.138.69.130
root@proxy:/etc/network/if-up.d# sysctl net.ipv4.ip_forvard
error: "net.ipv4.ip_forvard" is an unknown key
root@proxy:/etc/network/if-up.d# iptables-save
# Generated by iptables-save v1.4.12 on Tue Sep 24 13:45:37 2013
*nat
:PREROUTING ACCEPT [82427:6403884]
:INPUT ACCEPT [90928:5852040]
:OUTPUT ACCEPT [74781:4705251]
:POSTROUTING ACCEPT [4265:361942]
-A PREROUTING -d 213.138.69.133/32 -p tcp -m tcp --dport ### -j DNAT --to-destination 192.168.1.253
-A PREROUTING -s 83.69.64.14/32 -d 213.138.69.130/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.1.253:3389
-A PREROUTING -s 193.105.37.158/32 -d 213.138.69.130/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.1.253:3389
-A PREROUTING -d 213.138.69.130/32 -p tcp -m multiport --dports 20,21,25,110,1723 -j DNAT --to-destination 192.168.1.253
-A PREROUTING -d 213.138.69.130/32 -p gre -j DNAT --to-destination 192.168.1.253
-A PREROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,81,8080,8081 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p tcp -m multiport --dports 80,81,8080,8081 -j REDIRECT --to-ports 3128
-A PREROUTING -d 213.138.69.133/32 -p tcp -m tcp --dport 4224 -j DNAT --to-destination 192.168.1.5
-A PREROUTING -d 213.138.69.133/32 -p udp -m udp --dport 4938 -j DNAT --to-destination 192.168.1.5
-A PREROUTING -d 213.138.69.133/32 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.10.240:1723
-A POSTROUTING -o eth3 -j MASQUERADE
-A POSTROUTING -o eth3 -j MASQUERADE
COMMIT
# Completed on Tue Sep 24 13:45:37 2013
# Generated by iptables-save v1.4.12 on Tue Sep 24 13:45:37 2013
*filter
:INPUT ACCEPT [1721646:1622418254]
:FORWARD ACCEPT [4381653:5879917599]
:OUTPUT ACCEPT [2110072:1690786798]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -d 192.168.1.253/32 -p tcp -m multiport --dports 20,21,22,25,110,3389,1723 -j ACCEPT
-A FORWARD -d 192.168.1.251/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.201/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.5/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Tue Sep 24 13:45:37 2013
как-то так
Пользователь решил продолжить мысль 24 Сентября 2013, 13:57:18:
А как делали доступ в интернет?
Вы как собрались администрировать созданную сеть?
Вы увидели факт непроизводственного использования траффика. Есть два решения, которые Вы обязаны применить. Причём оба одновременно.
1. ограничить это безобразие программными средствами (а по Вашему набору правил netfilter явно видно, что Вы даже на эту тему ухом не вели)
2. ограничить это регламентом пользования сетью по предприятию (в том числе гостевые подключения). Нарушил регламент получил привет в виде штрафа или лишения премии (зависит от предприятия).
Ответьте себе на вопрос - какое назначение имеет прокси в Вашей конфигурации. Если ответите правильно, то увидите простейшее решение.
ЗЫ. копипастить интернет не буду. Назвался груздем - полезай в корзину. Проблемы администрирования сети весьма и весьма широкомастабны и разнообразны и очень сильно зависят от возможностей и требований.
Регламент пользования сетью по предприятию для гостей индеферентен - это гостиница и мы обязаны предоставить качественный сервис, в рамках разумного. Вот с программными средствами и выходит заминка - торренты обрезать не получается.
прокси служит для разделения гостевой сети и сети предприятия, а также какой-никакой файерволл.
Тема: Бан пользователя по IP в локальной сети (Прочитано 1728 раз)
