如何用iptables控制用户浏览网页？

spman

我有一网段，192.168.1.0/24 ，现在是全部可以用IE上网，我现在想通过iptables控制用户是否能用IE浏览网页功能，以下情况，该如何设置？



可以用IE浏览网页的网段：192.168.1.11~192.168.1.99

不可以用IE浏览网页的网段：192.168.100~192.168.1.199



我的分析：因为所有电脑都是通过一台rh 9的路由主机上网的，只要不允许的IP向外请求连接80端口，就将其丢弃，那这时设置的dport，是指rh 9那台电脑，还是外网的？



望各位帮忙解答？

yongjian

Post by spman
我有一网段，192.168.1.0/24 ，现在是全部可以用IE上网，我现在想通过iptables控制用户是否能用IE浏览网页功能，以下情况，该如何设置？



可以用IE浏览网页的网段：192.168.1.11~192.168.1.99

不可以用IE浏览网页的网段：192.168.100~192.168.1.199



我的分析：因为所有电脑都是通过一台rh 9的路由主机上网的，只要不允许的IP向外请求连接80端口，就将其丢弃，那这时设置的dport，是指rh 9那台电脑，还是外网的？



望各位帮忙解答？

你给出的好象是同一个网断的地址。

spman

哦，笔误，应该是IP段，
我是想对同一网段的不同IP段进行控制，

yongjian

试试吧。麻烦的就是找不到方便的缩写，可能要一个个的输入。

1. 
   
2. iptables -A OUTPUT -p tcp -m tcp -s 192.168.1.11 --dport 80 -j ACCEPT
   
3. iptables -A OUTPUT -p tcp -m tcp -s 192.168.1.100 --dport 80 -j REJECT
   

复制代码

spman

终于理解了，刚查了资料，以后我是这样判断的：

--dport  80，我所理解的是rh 9这台电脑上的80端口，而不是指其它网站的80端口

其实不是这样的，因为在用户请求的数据包上，带有源与目的IP与PORT，而iptables是根据这些而进行判断的。谢谢版主！


有一个疑问：这个--dport是不是可以是本机的port，也可以是其它网站的port?

另外，如果是192.168.1.11-192.168.18.99，那是不是要一条一条的写，能不能一次控制IP段？

spman

iptables -A OUTPUT -p tcp -m tcp -s 192.168.1.11 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -s 192.168.1.100 --dport 80 -j REJECT

其中的-m tcp是什么意思？
那这样，无论是访问本机的80还是外部的80，是不是都会reject？

orphen

如果这台机器是做网关的话，应该如下
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.1.11-192.168.1.99 --dport 80 -j SNAT --to 网关IP