|
|
发表于 2006-7-28 10:02:23
|
显示全部楼层
Post by 饭饭
网络环境:
internel ------->服务器1(ISA)(192.168.0.1) ---->交换机 -------->客户机
网关:192.168.0.1
客户机: 192.168.0.1/24
网关上有ISA控制上网,只有部分机可以上网(192.168.0.100就是其中的一台)
今天在192.168.0.100上做了如下操作 :
机器系统Debian
- #!/bin/bash
- #加载模块
- modprobe iptable_nat
- modprobe ip_conntrack
- modprobe ip_conntrack_ftp
- #转发
- echo 1 >/proc/sys/net/ipv4/ip_forward
- #清除表
- iptables -F INPUT
- iptables -F FORWARD
- iptables -F POSTROUTING -t nat
- iptables -t nat -F
- #转发源地址为192.168.0.115的包
- iptables -A FORWARD -s 192.168.0.115 -j ACCEPT
- iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.115 -j SNAT --to 192.168.0.100
- iptables -P FORWARD DROP
现在客户机192.168.0.115网关改成192.168.0.100也可以上网!
本身192.168.0.115是禁止上网的
我就想问下有没有办法禁止这种行为,这样不是就绕过了ISA的 ??
另外准备把网关的服务器换成linux , 用iptables替换掉ISA ,
问下怎么样写iptables来禁止不能上网的机器用sock代理之类的来上网 ?
环境可能:
192.168.0.2-192.168.0.20(允许上网的I段),其他的IP段都是禁止的,
如何在网关(192.168.0.1)上写iptables 禁止不能上网的机器通过 在192.168.0.20上运行Sock5代理之内的软件上网?
共享上网这个似乎的确没办法控制,即使squid也没办法,人家机器上愿意运行什么程序是人家的事,除非让别人都只用限制用户,不允许安装代理
允许某些网段转发,某些不允许这个很容易,iptables本身就能做到,squid配置起来更简单一些 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡