IPTABLES อนุญาตการเชื่อมต่อกับรายการ IP กับผู้ใช้เฉพาะ (ip) - บล็อกส่วนที่เหลือทั้งหมดจากผู้ใช้รายนี้เท่านั้น

Andreluiz

29/1/23 13:45

เราทุกคนมีผู้ใช้ที่ต้องการเข้าถึง IP เฉพาะบางช่วงในเครือข่าย ซึ่งทุกคนสามารถเข้าถึงอินเทอร์เน็ต ดังนั้น...

#ไอพีฟอร์เวิร์ด
echo "1" > /proc/sys/net/ipv4/ip_forward
# ทำความสะอาด
iptables -F
iptables -X
iptables -F -t แนท
iptables -X -t แนท

#ปล่อยวาง
iptables -P อินพุตลดลง
iptables -P เอาต์พุตลดลง
iptables -P ไปข้างหน้าลดลง

iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ยอมรับ
iptables -A OUTPUT -m state --state ESTABLISHED,ที่เกี่ยวข้อง,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,ที่เกี่ยวข้อง,NEW -j ACCEPT

#มาส์กหน้า
iptables -A โพสต์ -t nat -o $IF_EXTERNAL -j MASQUERADE

# อนุญาตเฉพาะรายการเข้าถึง 192.168.10.10 ส่วนที่เหลือของอินเทอร์เน็ตถูกบล็อก
ALLOW_IP_RANGE="8.8.4.0/24 8.8.8.0/24 8.34.208.0/20 8.35.192.0/20 23.236.48.0/20"
iptables -N อนุญาตช่วง
สำหรับ IPLIST ใน $ALLOW_IP_RANGE; ทำ
    iptables -I FORWARD -m tcp -p tcp --destination $IPLIST -j ALLOWEDIPS
เสร็จแล้ว
iptables -I ALLOWEDIPS -s 192.168.10.10 -j ยอมรับ
iptables -A ส่งต่อ -s 192.168.10.10 -j ปฏิเสธ

# ส่งต่ออินเทอร์เน็ตที่เหลือให้กับทุกคน
iptables -A FORWARD -i @IF_INTERNAL -j ยอมรับ

มันใช้งานไม่ได้และฉันพยายามย้าย:

iptables -A ส่งต่อ -s 192.168.10.10 -j ปฏิเสธ

ตั้งแต่ต้นจนจบ แต่ IP ก็ยังได้เน็ตเต็มๆ

113

0 + 0

ลินุกซ์

ฮาร์ดไดรฟ์

iptables

พีซีไอ

Score:3

Server

Aleksandr Chendev

29/1/23 17:19

อาจไม่ใช่วิธีแก้ปัญหาที่สะอาด แต่จะได้ผล

ผู้ใช้ทุกคนจะสามารถเข้าถึงอินเทอร์เน็ตได้ ยกเว้นผู้ใช้ที่ถูกจำกัด

# กำหนดตัวแปร
USER_IP=172.16.0.101
ALLOW_IPS="1.2.3.4 2.3.4.5 3.4.5.6"
IF_EXTERNAL=vmbr0

# การล้าง iptables จากกฎอนุญาต ip ก่อนหน้าโดยความคิดเห็นและการปลอมตัว
iptables บันทึก | grep -v "จำกัดผู้ใช้\|MASQUERADE" | iptables กู้คืน

# สร้างกฎสำหรับการปลอมตัวจากผู้ใช้ที่ถูก จำกัด (ip)
สำหรับ ALLOW_IP ใน $ALLOW_IPS
ทำ
iptables -t nat -A POSTROUTING -s ${USER_IP} -d ${ALLOW_IP} -o ${IF_EXTERNAL} -j MASQUERADE -m ความคิดเห็น --comment ผู้ใช้จำกัด
เสร็จแล้ว

# เคล็ดลับกับ SNAT จะทำให้แพ็กเก็ตเป้าหมายใช้ไม่ได้
iptables -t nat -A POSTROUTING -s ${USER_IP} -o ${IF_EXTERNAL} -j SNAT --to 127.0.0.1 -m comment --comment userrestricted

# รับกฎการสวมหน้ากากทั่วไปกลับคืน
iptables -t nat -A โพสต์ -o ${IF_EXTERNAL} -j MASQUERADE

มันได้ผลสำหรับฉัน ตรวจสอบให้แน่ใจว่าคุณมีกฎการปลอมตัวทั่วไปหลังจากกฎผู้ใช้ที่ถูกจำกัด

โปรดตรวจสอบ หากไม่ใช่สิ่งที่คุณต้องการ ฉันสามารถแก้ไขคำตอบได้

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: IPTABLES allow connection to a list of IPs to a specific user (ip) - block all the rest from this user only

TH: IPTABLES อนุญาตการเชื่อมต่อกับรายการ IP กับผู้ใช้เฉพาะ (ip) - บล็อกส่วนที่เหลือทั้งหมดจากผู้ใช้รายนี้เท่านั้น

RO: IPTABLES permit conectarea la o listă de IP-uri la un anumit utilizator (ip) - blocați restul numai de la acest utilizator

RU: IPTABLES разрешают подключение к списку IP-адресов конкретному пользователю (ip) - блокируют все остальные только от этого пользователя

VI: IPTABLES cho phép kết nối với danh sách IP cho một người dùng cụ thể (ip) - chỉ chặn tất cả phần còn lại từ người dùng này

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา