Mai trebuie si regula sa-i lase sa acceseze serverul de web acl webserver dst 10.0.0.126/32
http_access allow webserver inainte de http_access allow baieti_buni P.S. formatul este acl aclname .... deci acl baieti_buni src IP1/255.255.255.255 batranetzea bat-o vina ;) Hello lonely, Thursday, July 17, 2003, 3:14:04 PM, you wrote: lw> Stelian Iancu wrote: >>Salutare! >> >>Am si eu o problema mica cu un firewall. Configuratia retelei e >>urmatoarea: >>- 10.0.0.126 - serverul web >>- 10.0.0.120 - proxy (squid) >> >>Din 10.0.0.0 doar anumite ip-uri trebuie sa poata iesi pe internet, in >>schimb toti trebuie sa poata vedea 10.0.0.126. >> >>Intrebarea e cum fac chestia asta cu iptables (pe 10.0.0.120)? Am citit >>tutorialul de iptables de la http://iptables-tutorial.frozentux.net dar >>mi-am prins urechile. >> >> lw> a) lw> iptables -A FORWARD -j REJECT lw> (sau iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 80 -j REJECT) lw> b) lw> acl src baieti_buni IP1/255.255.255.255 lw> acl src baieti_buni IP2/255.255.255.255 lw> acl src baieti_buni IP3/255.255.255.255 lw> acl src baieti_buni IP4255.255.255.255 lw> http_access allow baieti_buni lw> se aplica a+b simultan. a nu ii mai lasa sa iasa pe net fara proxy, b ii lw> lasa prin proxy pe cei care au dat spaga aferenta
