IPTABLES permit conectarea la o listă de IP-uri la un anumit utilizator (ip) - blocați restul numai de la acest utilizator

Andreluiz

29.01.2023, 13:45

Cu toții avem acel utilizator care trebuie să acceseze doar o anumită gamă de IP-uri într-o rețea în care toată lumea are acces la internet, așa că...

# IP înainte
echo "1" > /proc/sys/net/ipv4/ip_forward
# Curăță
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

# Să scăpăm
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP.

iptables -A INPUT -m stare --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m stare --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m stare --state ESTABLISHED,RELATED,NEW -j ACCEPT

# Mascarea
iptables -A POSTROUTING -t nat -o $IF_EXTERNAL -j MASQUERADE

# PERMITAȚI NUMAI LISTA DE ACCES LA 192.168.10.10 RESTUL INTERNETULUI ESTE BLOCAT
ALLOW_IP_RANGE="8.8.4.0/24 8.8.8.0/24 8.34.208.0/20 8.35.192.0/20 23.236.48.0/20"
iptables -N ALLOWIPRANGE
pentru IPLIST în $ALLOW_IP_RANGE; do
    iptables -I FORWARD -m tcp -p tcp --destination $IPLIST -j ALLOWEDIPS
Terminat
iptables -I ALLOWEDIPS -s 192.168.10.10 -j ACCEPT
iptables -A FORWARD -s 192.168.10.10 -j REJECT

# Redirecționați restul internetului către toți ceilalți
iptables -A FORWARD -i @IF_INTERNAL -j ACCEPT

Acest lucru nu funcționează și am încercat să mut:

iptables -A FORWARD -s 192.168.10.10 -j REJECT

de la început până la sfârșit, dar IP-ul primește în continuare internet complet.

113

0 + 0

linux

hard disk

iptables

Puncte:3

Server

Aleksandr Chendev

29.01.2023, 17:19

Probabil aceasta nu este o soluție curată, dar va funcționa

Toți utilizatorii vor avea acces la internet, cu excepția utilizatorilor restricționați

# Definiți variabile
USER_IP=172.16.0.101
ALLOW_IPS="1.2.3.4 2.3.4.5 3.4.5.6"
IF_EXTERNAL=vmbr0

# Ștergerea iptables de la regulile IP anterioare permit prin comentariu și mascarade
iptables-salvare | grep -v „userrestricted\|MASQUERADE” | iptables-restore

# Generați reguli pentru mascarea de la utilizator restricționat (ip)
pentru ALLOW_IP în $ALLOW_IPS
do
iptables -t nat -A POSTROUTING -s ${USER_IP} -d ${ALLOW_IP} -o ${IF_EXTERNAL} -j MASQUERADE -m comentariu --comentare restricționat de utilizator
Terminat

# Trucul cu SNAT va invalida pachetele țintă
iptables -t nat -A POSTROUTING -s ${USER_IP} -o ${IF_EXTERNAL} -j SNAT --to 127.0.0.1 -m comment --comentare restricționat de utilizator

# Obțineți regula obișnuită pentru mascarada înapoi
iptables -t nat -A POSTROUTING -o ${IF_EXTERNAL} -j MASQUERADE

Funcționează pentru mine, asigurați-vă că aveți o regulă comună de mascarada după regulile de utilizator restricționate

Vă rugăm să verificați, dacă nu este ceea ce doriți, vă pot corecta răspunsul

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: IPTABLES allow connection to a list of IPs to a specific user (ip) - block all the rest from this user only

TH: IPTABLES อนุญาตการเชื่อมต่อกับรายการ IP กับผู้ใช้เฉพาะ (ip) - บล็อกส่วนที่เหลือทั้งหมดจากผู้ใช้รายนี้เท่านั้น

RO: IPTABLES permit conectarea la o listă de IP-uri la un anumit utilizator (ip) - blocați restul numai de la acest utilizator

RU: IPTABLES разрешают подключение к списку IP-адресов конкретному пользователю (ip) - блокируют все остальные только от этого пользователя

VI: IPTABLES cho phép kết nối với danh sách IP cho một người dùng cụ thể (ip) - chỉ chặn tất cả phần còn lại từ người dùng này

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.