Iptables. Как дать доступ из локальной сети на внешний ip (сайт)?

[galats]

Как дать компьютерам локальной сети 192.168.0.0/23 доступ только на определенные сайты?

[ArcFi]

squid+squidguard

[galats]

не подходит.
надо через iptables
Я добавил такую строку, но увы.
$fw -t nat -A POSTROUTING -s 192.168.0.0/23 -d 91.232.231.56 -o eth2 -p tcp --dport 80 -j SNAT --to $ip_dom
Но Инет я получаю через pppoe, а это интерфейс ppp999.
Компьютер удаленный поэтому конфигурировать надо осторожно.

[fisher74]

Вы сами-то поняли, какое дали задание firewall-у?
Не пробовали проанализировать правило? Или ткнули в гугл и первое попавшееся правило использовали?

Это ведь не buntu?

Да, так можно, но учитывая

Компьютер удаленный поэтому конфигурировать надо осторожно.

маскарад, на ppp999 уже есть.
Давайте больше информации, а то начинаем в лампочку тыкать

[ArcFi]

не подходит.
надо через iptables

Почему?

[fisher74]

Но Инет я получаю через pppoe, а это интерфейс ppp999.

И кто мешает вместо eth2 указать ppp999?

А вообще, фильтрация трафика производится в специально созданной для этого таблице (filter). Но это если конечно система не строится по костыльно-модульной технологии

[galats]

Костыльный  метод не устраивает - он не надежный.
могли показать пример, как реализовать через таблицу filter?

[fisher74]

Такие вещи делаются комплексно.
В простейшем случае делается примерно так:
запрещаем весь транзитный трафик (устанавливая деволтное правило, т.е правило которое применится, если ни одно из текущей таблицы не протерминирует пакет)
sudo iptables -P DROP
разрешаем уже устанвовленные соединения (дабы смогли дойти ответы на разрешённые запросы)
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ну и разрешаем то. что мы хотели разрешить
sudo iptables- A FORWARD -s 192.168.0.0/23 -d 91.232.231.56 -p tcp --dport 80 -j ACCEPT

[galats]

не открывает из локальной сети этот сайт.
А нат никакой не нужен для подсети 192,168,0,0/23?

[fisher74]

Конечно нужен. Вы же просили пример построения фильтрации трафика. А у NAT другое назначение. Можно, фильтрацию, конечно, и в правиле с организацией NAT сделать, но мы уже обсудили построение костыльно-модульной системы.

[galats]

Так надо перенаправить трафик, а потом уже фильтровать,так?
Ваш пример, фильтрует трафик. А перенаправить как, если не натом?

[fisher74]

Так надо перенаправить трафик, а потом уже фильтровать,так?

Нет. Трафик сначала фильтруется, а потом натится.

Ваш пример, фильтрует трафик. А перенаправить как, если не натом?

Я разве сказал, что NAT использовать не стоит?
Судя по всему, Вы не совсем осознаёте как у Вас будут ходить пакеты через шлюз. Найдите картинку со структурой netfilter (мне лень искать, но в той же wikipedia таковая есть) и попробуйте проследить их движение.

[galats]

Ок. Согласен, четкого понимания нет. Беру таймаут.