Poslao: 20 Apr 2011 13:27
|
offline
- gogi100
- Građanin
- Pridružio: 26 Jan 2006
- Poruke: 233
|
sad cu da gnjavim jos malo posto sam dozvolio da mi idu samo na adresu rutera 192.168.56.1 kako da filtriram korisnike da ne mogu da koriste na internetu na primer torrent?
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 20 Apr 2011 14:03
|
offline
- bocke
- Moderator foruma
- Glavni moderator Linux foruma
- Pridružio: 16 Dec 2005
- Poruke: 12524
- Gde živiš: Južni pol
|
Napisano: 20 Apr 2011 14:00
Morao bi da filtriraš specifični port (ili portove) koje koriste torrent aplikacije. Međutim postoji mogućnost da oni zaobiđu zabranu navođenjem nekog drugog porta (većina torent aplikacija ima ovu opciju). Zato je bolje zabraniti sav saobraćaj jednim pravilom, a zatim dodatnim pravilima dozvoliti saobraćaj samo za protokole ili portove koje želiš da omogućiš.
Ono što je bitno je da se pravila primenjuju po tome kako su navedena. Opcija '-I' postavlja pravilo na vrh liste. Tako ono gore i funkcioniše.
Sa opcijom '-I' pravilo u svakoj sledećoj komandi se postavlja na vrh liste pravila. Tako ovo:
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.56.0/24 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.56.1 -j ACCEPT
u listi pravila u stvari čini da poslednje ukucana komanda bude na vrhu i prva se izvršava. Kako to logički izgleda?
Ako je paket stigao sa adrese u opsegu 192.168.1.1-192.168.1.254 i destinacija je 192.168.56.1, prihvati paket. Ako nije, pređi na drugo pravilo. Drugo pravilo: Ako je paket stigao sa adrese u opsegu 192.168.1.1-192.168.1.254 i destinacija je u opsegu 192.168.56.1-192.168.56.254, odbaci paket.
Možemo napisati skript koji bi radio ovo što tebi treba, ali bi prvo morali da utvrdimo bar koja vrsta i verzija Linuxa na ruteru i kako su postavljene početne vrednosti firewalla. Pre toga je neophodno da definišeš čemu te mašine moraju imati pristup (file serveri, štampači, web, ftp, ssh, remote desktop, itd) i portove koje ti servisi koriste.
Dopuna: 20 Apr 2011 14:03
FarscapeFan ::to nije moguće (ili recimo , nije lako moguće )
Osim ako se blokiraju svi portovi osim onih neophodnih. Pretpostavljam da je to mali broj portova.
|
|
|
|
|
Poslao: 20 Apr 2011 14:50
|
offline
- bocke
- Moderator foruma
- Glavni moderator Linux foruma
- Pridružio: 16 Dec 2005
- Poruke: 12524
- Gde živiš: Južni pol
|
Napisano: 20 Apr 2011 14:19
Ja bih to sve stavio na FORWARD lance. Blokiraš sav nepoželjan saobraćaj ka drugom ruteru i miran si.
Dopuna: 20 Apr 2011 14:50
Doduše, moj predlog ima manu. Ne vrši se filtriranje paketa na Layer 7 nivou. Tako da je teorijski moguće proterati nepoželjan application level protokol kroz bilo koji dozvoljeni port, napr: port 80 (www).
|
|
|
|