Freesco, NND, CDN, EOS

Kiedy wpisuje w ip_redirect "192.168.1.6" aby zablokowac tego usera, to przy restarcie iptables pojawia mi sie:

Ja do blokowanie userow napisalem sobie prosciutki skrypt

Uzycie: nazwaskyptu ipusera , a na porcie 81 nasluchuje apache z informacja. Do wlaczenia mam taki sam skrypt tylko z -D zamiast -A. To dziala, ale jak zawsze prosze madrzejsze glowy o wytkniecie mi bledow

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Moge to zrobic:

ale chcialem przez firewall by Czerwo

i tu mam wlasnie ten problem...

Witam !

Odkopałem temat, bo mam niestety problem z blokowaniem userów. po napisaniu regułki

jedyne co się dzieje to mam zablokowany dostęp do serwera przez putty. Niestety stronki i wszystko inne chodzi.
Udaje mi się zrobić coś takiego:

wtedy nie chodzi www i odpowiedni komunikat wyskakuje.
na wzor tego drugiego próbowałem sklecić takie coś:

no ale oczywiście nic to nie dało.

Wpis w thttpd:

Mam stronke na 192.168.5.1:81 i ona normalnie mi wyskakuje jak ją wklepe w przeglądarke. Nie mam serwera Apache i nie wiem czy jest on wymagany do tego komunikatu, ale wydawało mi się, że takie blokowanie to zwykłe przekierowanie wszystkich portów na port z niespodzianką.

Z góry dziękuje za pomoc !

_________________
it's good to be bad

Adres Twojego routera to 192.168.5.1? Jesli nie, to przydaloby sie jeszcze dodac SNAT. Najszybciej bedzie jak przeczytasz opis na ten temat w faq na wiki.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

adres routera mam 192.168.5.1
jeśli chodzi Ci o ten opis na wiki:
to właśnie według niego to robiłem. Tak jak w Twoim FAQ.

_________________
it's good to be bad

Zainstaluj firewall Adiego (podobno ma opcje ogloszenia o zablokowaniu internetu), albo odezwij sie ktoregos dnia po 23 na gg (ostatnio wczesniej rzadko mam czas na dluzsza rozmowe).

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Ok poszukam firewall'a Adiego. Dam później znać czy mi się wkońcu udało. Ale rozumiem, że regułki są ok i gdzieś indziej mogę mieć problem, a aktualnie mam firewall Zciech'a.
Dzięki za pomoc.

_________________
it's good to be bad

firewall Adiego ma tą opcję i wiele innych przydatnych. Dodatkowo poprawiły mi się statystyki mrtg zliczające transfer i ilość połączeń.
Dzięki za pomoc.

_________________
it's good to be bad

ja robie to mniej drastycznie ale rownie skutecznie,
szybko wplacaja

$i -I PREROUTING -t nat -s $IP -p tcp --dport 80 -j DNAT --to- 192.168.0.1:81

a dodatkowo moga sobie ze mna pogadac na gg lub poczta.

oczywiscie zeby byc kulturalnym wczesniej daje przypomnienie za pomoca
tablicy ogloszen, a w piatek wieczorem kiedy banki nie dokonuja operacji
ja wykonuje operacje

Oraz ustawic jakies proxy i miec Twoja blokade gleboko w d...

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

to jest wyjscie dla ambitniejszych

a ja patrze na statystyki i jak widze ze sa modzejsci to pokazuje im, ze maja racje

Dopiszę się do tematu
Dodałem do firewalla w celu zablokowania usera i przekierowania go do strony informacyjnej jedną z następujących linie:

iptables -A PREROUTING -s 192.168.x.x -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:82
lub
iptables -A PREROUTING -s 192.168.x.x -p tcp --dport 80 -j REDIRECT --to- 192.168.1.1:82
lub
iptables -A PREROUTING -s 192.168.x.x -p tcp --dport 80 -j DNAT --to- 192.168.1.1:82

Niestety nie spełniają swoich zamierzonych funkcji. To znaczy użytkownikowi internet zostaje zablokowany, ale przekierowania do do strony 192.168.1.1:82 nie ma. Sama strona po wpisaniu powyższego adresu w przeglądarce się otwiera prawidłowo.

GHY a nie powienienes wygenerowac firewall'a jak zapiszesz jakies ip w pliku ip_redirect?

jak to zrobic ??

Normalnie rece OPADAJĄ.

iptables -t nat -A PREROUTING -p tcp -s $IP -j REDIRECT --to-port 82

Wczesniej nalezy zapwenic userowi dostep do jakiegos serwera nazw (DNS) (port 53 tcp)

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

gwoli scislosci:

$i -I PREROUTING -t nat -s $IP -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:81

Aczkolwiek wydaje mi sie ta konstrukcja z przekierowaniem na wewnetrze serwera przez DNAT zbyt zawila, sluzy do tego REDIRECT

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

i jestes pewien, ze tak musi byc?

Mozna i tak:
$i -I PREROUTING -t nat -s $IP -p tcp --dp 80 -j DNAT --to 192.168.0.1:81
Ale nie mąćmy w glowach "młodym" adminom.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Korzystając z tematu związanego z iptables, mam pytanie gdzie dodać własne reguły które mają się uruchamiać wraz ze startem firewall'a (firewall by Czerwo)