Гуру iptables, подскажите.
ubuntu 10 tls , NAT (прокси ставить не планируем)
dhcp раздает адреса с 192.168.1.100 по 1.254, еще VIP`ам раздает с 50 до 99
Есть 3 задачи:
1) нужно закрыть сайты по именам для простых смертных с 100 по 254 ip (сейчас забанены сайты всем)
2) нужно так же с 100 по 254 ip ограничить скорость интернета(eth0)
3) нужно закрыть 25 порт с локалки наружу(во избежание спам рассылок) и оставить доступ на 25 порт почтовику(он внутри за натом 192.168.1.65) и еще нескольким компам(админы+такском)
Вот что уже имеем:
#!/bin/sh -e
#####RELEASE_ALL#####
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
#####NAT#####
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward
###APP-RDP###
iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 7777 -j DNAT --to-destination 192.168.1.7:3389
iptables -A FORWARD -i eth0 -d 192.168.1.7 -p tcp --dport 3389 -j ACCEPT
###MAIL###
iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 25 -j DNAT --to-destination 192.168.1.65:25
iptables -A FORWARD -i eth0 -d 192.168.1.65 -p tcp --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 80 -j DNAT --to-destination 192.168.1.65:80
iptables -A FORWARD -i eth0 -d 192.168.1.65 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 443 -j DNAT --to-destination 192.168.1.65:443
iptables -A FORWARD -i eth0 -d 192.168.1.65 -p tcp --dport 443 -j ACCEPT
###TERMINAL###
iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 5555 -j DNAT --to-destination 192.168.1.67:5555
iptables -A FORWARD -i eth0 -d 192.168.1.67 -p tcp --dport 5555 -j ACCEPT
###CAM###
#iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 50000 -j DNAT --to-destination 192.168.1.176:50000
#iptables -A FORWARD -i eth0 -d 192.168.1.176 -p tcp --dport 50000 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 8080 -j DNAT --to-destination 192.168.1.176:80
#iptables -A FORWARD -i eth0 -d 192.168.1.176 -p tcp --dport 8080 -j ACCEPT
###TEST###
#iptables -t nat -A PREROUTING -p tcp -d 62.117.22.22 --dport 9090 -j DNAT --to-destination 192.168.1.97:99
#iptables -A FORWARD -i eth0 -d 192.168.1.97 -p tcp --dport 9090 -j ACCEPT
###BAN-CONTENT###
iptables -A FORWARD -m string --string "fishki.net" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "youtube.com" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "odnoklassniki.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "vk.com" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "vk.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "facebook.com" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "my.mail.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "rutube.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "demotivators.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "mamba.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "livejournal.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "rutracker.org" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "cameleo.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "lady.mail.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "zaycev.net" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "101.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "radiopotok.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "onlineguru.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "games" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "sex" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "porno" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "gameee.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "irr.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "auto.ru" --algo kmp --to 65535 -j DROP
Тема: Ограничение доступа к ресурсам средствами IPTABLES и закрытие 25 порта (Прочитано 4946 раз)
