Здравейте
Имам малка мрежа свързана с сървърче под слак 11.0
eth0-Ми е вътрешната мрежа
eth1-Ми е БТК-АДСЛ-а
та интересува ме има ли някакав скрипт да спира нета на
дадено ип
примерно на 192.168.1.20 да няма нет а да има достъп само до
вътрешната мрежа а 192.168.1.21 да си има нет и достъп до
вътрешната мрежа
имам следния rc.firewall скрипт дето ми го прати един
приятел не разбирам от скриптове та дали миже в този скрипт
да се добави някои ред та да спира нета на това ип дето аз
искам
FWVER=0.63
echo -e "\n\nLoading simple rc.firewall version $FWVER..\n"
IPTABLES=/usr/sbin/iptables
EXTIF="eth0"
INTIF="eth1"
echo " External Interface: $EXTIF"
echo " Internal Interface: $INTIF"
echo -en " loading modules: "
echo " - Verifying that all kernel modules are ok"
/sbin/depmod -a
echo -en "ip_tables, "
/sbin/insmod ip_tables
echo -en "ip_conntrack, "
/sbin/insmod ip_conntrack
echo -en "ip_conntrack_ftp, "
/sbin/insmod ip_conntrack_ftp
echo -en "ip_conntrack_irc, "
/sbin/insmod ip_conntrack_irc
echo -en "iptable_nat, "
/sbin/insmod iptable_nat
echo -en "ip_nat_ftp, "
/sbin/insmod ip_nat_ftp
echo ". Done loading modules."
echo " enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "64000" > /proc/sys/net/ipv4/ip_conntrack_max
echo " clearing any existing rules and setting default
policy.."
$IPTABLES -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
echo " FWD: Allow all connections OUT and only existing
and related ones IN"
#w32blaster stop
#$IPTABLES -A INPUT -p tcp --destination-port 135 -j
DROP
#$IPTABLES -A INPUT -p tcp --destination-port 139 -j
DROP
#$IPTABLES -A INPUT -p tcp --destination-port 445 -j
DROP
#$IPTABLES -A INPUT -p tcp --destination-port 593 -j
DROP
#$IPTABLES -A INPUT -p tcp --destination-port 4444 -j
DROP
#$IPTABLES -A INPUT -p udp --destination-port 69 -j DROP
#$IPTABLES -A INPUT -p udp --destination-port 135 -j
DROP
#$IPTABLES -A INPUT -p udp --destination-port 137 -j
DROP
#$IPTABLES -A INPUT -p udp --destination-port 138 -j
DROP
$IPTABLES -A FORWARD -p tcp --destination-port 135 -j
DROP
$IPTABLES -A FORWARD -p tcp --destination-port 139 -j
DROP
$IPTABLES -A FORWARD -p tcp --destination-port 445 -j
DROP
$IPTABLES -A FORWARD -p tcp --destination-port 593 -j
DROP
#$IPTABLES -A FORWARD -p tcp --destination-port 4444 -j
DROP
$IPTABLES -A FORWARD -p tcp --destination-port 1433 -j
DROP
#$IPTABLES -A FORWARD -p icmp -s 85.239.145.52 -j DROP
$IPTABLES -A FORWARD -p udp --destination-port 69 -j
DROP
$IPTABLES -A FORWARD -p udp --destination-port 135 -j
DROP
$IPTABLES -A FORWARD -p udp --destination-port 137 -j
DROP
$IPTABLES -A FORWARD -p udp --destination-port 138 -j
DROP
$IPTABLES -A FORWARD -j ACCEPT
$IPTABLES -A FORWARD -j LOG
echo " Enabling SNAT (MASQUERADE) functionality on
$EXTIF"
$IPTABLES -t nat -A POSTROUTING -s 192.168.20.0/24 -j
MASQUERADE
echo -e "\nrc.firewall-2.4 v$FWVER done.\n"
#/etc/rc.d/sasacct-iptables.sh
-----------------------------------------
така като гледам последните редове примерно този ред
#$IPTABLES -A FORWARD -p icmp -s 85.239.145.52 -j DROP
Ако примерно това ип дето е 85.239.145.52 ако го направа да
е 192.168.1.20
и му махна #-счето ще спре ли нета на това ип ?
Ако не е това решението кажете някъкво решение
Благодаря за оделеното време :)
|