IPTABLES cho phép kết nối với danh sách IP cho một người dùng cụ thể (ip) - chỉ chặn tất cả phần còn lại từ người dùng này

Andreluiz

13:45, 29/01/2023

Tất cả chúng ta đều có người dùng chỉ cần truy cập một dải IP nhất định trong mạng vì mọi người đều có quyền truy cập internet nên...

# chuyển tiếp IP
tiếng vang "1" > /proc/sys/net/ipv4/ip_forward
# Dọn dẹp
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

# Hãy thả
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P VỀ PHÍA TRƯỚC DROP.

iptables -A INPUT -m state --state ĐÃ THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN
iptables -A OUTPUT -m state --state ĐÃ THÀNH LẬP,LIÊN QUAN,MỚI -j CHẤP NHẬN
iptables -A FORWARD -m state --state ĐÃ THÀNH LẬP,LIÊN QUAN,MỚI -j CHẤP NHẬN

# đắp mặt nạ
iptables -A POSTROUTING -t nat -o $IF_EXTERNAL -j MASQUERADE

# CHỈ CHO PHÉP DANH SÁCH TRUY CẬP ĐẾN 192.168.10.10 PHẦN CÒN CỦA INTERNET BỊ CHẶN
ALLOW_IP_RANGE="8.8.4.0/24 8.8.8.0/24 8.34.208.0/20 8.35.192.0/20 23.236.48.0/20"
iptables -N CHO PHÉP
đối với IPLIST bằng $ALLOW_IP_RANGE; làm
    iptables -I FORWARD -m tcp -p tcp --destination $IPLIST -j ALLOWEDIPS
xong
iptables -I CHO PHÉP -s 192.168.10.10 -j CHẤP NHẬN
iptables -A FORWARD -s 192.168.10.10 -j TỪ CHỐI

# Chuyển tiếp phần còn lại của internet cho mọi người khác
iptables -A FORWARD -i @IF_INTERNAL -j CHẤP NHẬN

Điều này không hoạt động và tôi đã cố gắng di chuyển:

iptables -A FORWARD -s 192.168.10.10 -j TỪ CHỐI

từ đầu đến cuối mà IP vẫn vào được internet đầy đủ.

113

0 + 0

linux

ổ cứng

iptables

Điểm:3

Server

Aleksandr Chendev

17:19, 29/01/2023

Có lẽ đây không phải là một giải pháp sạch, nhưng nó sẽ hoạt động

Tất cả người dùng sẽ có quyền truy cập internet ngoại trừ người dùng bị hạn chế

# Định nghĩa các biến
USER_IP=172.16.0.101
ALLOW_IPS="1.2.3.4 2.3.4.5 3.4.5.6"
IF_EXTERNAL=vmbr0

# Xóa iptables khỏi các quy tắc ip cho phép trước đó bằng nhận xét và giả mạo
iptables-lưu | grep -v "userrestricted\|MASQUERADE" | iptables-khôi phục

# Tạo quy tắc để giả mạo từ người dùng bị hạn chế (ip)
cho ALLOW_IP bằng $ALLOW_IPS
làm
iptables -t nat -A POSTROUTING -s ${USER_IP} -d ${ALLOW_IP} -o ${IF_EXTERNAL} -j MASQUERADE -m comment --comment userrestricted
xong

# Thủ thuật với SNAT sẽ làm mất hiệu lực các gói mục tiêu
iptables -t nat -A POSTROUTING -s ${USER_IP} -o ${IF_EXTERNAL} -j SNAT --to 127.0.0.1 -m comment --comment userrestricted

# Lấy lại quy tắc hóa trang phổ biến
iptables -t nat -A POSTROUTING -o ${IF_EXTERNAL} -j MASQUERADE

Nó hoạt động với tôi, hãy đảm bảo rằng bạn có quy tắc giả trang chung sau các quy tắc người dùng bị hạn chế

Vui lòng kiểm tra nó, nếu đó không phải là điều bạn muốn tôi có thể trả lời chính xác

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: IPTABLES allow connection to a list of IPs to a specific user (ip) - block all the rest from this user only

TH: IPTABLES อนุญาตการเชื่อมต่อกับรายการ IP กับผู้ใช้เฉพาะ (ip) - บล็อกส่วนที่เหลือทั้งหมดจากผู้ใช้รายนี้เท่านั้น

RO: IPTABLES permit conectarea la o listă de IP-uri la un anumit utilizator (ip) - blocați restul numai de la acest utilizator

RU: IPTABLES разрешают подключение к списку IP-адресов конкретному пользователю (ip) - блокируют все остальные только от этого пользователя

VI: IPTABLES cho phép kết nối với danh sách IP cho một người dùng cụ thể (ip) - chỉ chặn tất cả phần còn lại từ người dùng này

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.