iptables

[Orick]

подскажите, как ПРАВИЛЬНО с помошью iptables закрыть доступ к нету определенным ip, но оставить для них определенные сайты.

допустим:
для 10.0.0.1-10.0.0.60 - полный доступ

для 10.0.0.61-10.0.0.100 - разрешить выход только на mail.ru

[Tucha]

от 10.0.0.1 куда угодно = принимать
iptables -A FORWARD -s 10.0.0.1 -j ACCEPT

первым правилом разрешить пересылку от 10.0.0.61 к ай-пи маил.ру. второе правило от 10.0.0.61 запрещаем отправку на все остальное
iptables -A FORWARD -s 10.0.0.61 -d 194.67.57.26 -j ACCEPT
iptables -A FORWARD -s 10.0.0.61 -j REJECT

можно писать правило не к ай-пи, а к подсети и навести немного красоты.

[maxx™]

подскажите, как ПРАВИЛЬНО с помошью iptables закрыть доступ к нету определенным ip, но оставить для них определенные сайты.
допустим:
для 10.0.0.1-10.0.0.60 - полный доступ
для 10.0.0.61-10.0.0.100 - разрешить выход только на mail.ru

Правильно при помощи iptables ты такое не сделаешь. Точнее можно. но достаточно сложновато. Все эти сайты типа mail.ru хостятся далеко не на одном ip, и для нормальной работы сайта тебе прийдется сидеть анализировать трафик чтобы знать что открыть, потому что главная и остальные страницы могут забираться с различных ip. А вот еще пример:
> host -t a google.com
google.com has address 72.14.207.99
google.com has address 64.233.167.99
google.com has address 64.233.187.99
> host -t a microsoft.com
microsoft.com has address 207.46.197.32
microsoft.com has address 207.46.232.182
Эти 2 сайта имеют 3 и 2 ip. И не факт что завтра они не поменяются. Открывать имена лучше каким-нибудь прокси, где можно будет открывать/закрывать сайты по именам.

[Orick]

спасибо большое, а на счет того, что всякие сайты хостятся далеко не на одном ip, то это не проблема - те, к кому мне нужен доступ сидят и будут сидеть на 1 ip.