想实现只允许某PC只能访问指定的一个网站

mdiane

想实现只允许某PC只能访问指定的一个网站。

我用如下的IPTABLES规则实现了只允许某台PC上网，
iptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -j ACCEPT
但是想要实现该PC只能上指定网站却不行，如下：
iptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -d www.163.com -j ACCEPT

－－注：
iptables -N allow
iptables -A INPUT -j allow
iptables -A FORWARD -j allow


排除域名解析问题，因为IPTABLES -L -N 能看到域名已经解析成IP地址

为啥呢？望大家帮忙解答。

[ 本帖最后由 mdiane 于 2008-7-11 13:15 编辑 ]

ssffzz1

贴你的iptables-save

mdiane

[root@gateway sysconfig]# iptables-save
# Generated by iptables-save v1.2.8 on Fri Jul 11 13:09:46 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [415117:218454503]
:allow - [0:0]
-A INPUT -j allow
-A FORWARD -j allow
-A allow -i lo -j ACCEPT
-A allow -p icmp -m icmp --icmp-type 255 -j ACCEPT
-A allow -p esp -j ACCEPT
-A allow -p ah -j ACCEPT
-A allow -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allow -s 192.168.0.0/255.255.255.0 -d 172.31.168.0/255.255.255.224 -i eth1 -p tcp -m multiport --dports 20,21,25,110,80 -j ACCEPT
-A allow -s 192.168.0.6 -i eth1 -j ACCEPT
-A allow -s 192.168.1.0/255.255.255.0 -d 192.168.0.11 -j ACCEPT
-A allow -s 192.168.0.179 -i eth1 -m mac --mac-source 00:11:25:70:B3:31 -j ACCEPT
-A allow -s 192.168.0.69 -i eth1 -m mac --mac-source 00:11:43:4F:26:BE -j ACCEPT
-A allow -s 192.168.0.0/255.255.255.0 -i eth1 -j DROP
-A allow -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Jul 11 13:09:46 2008
# Generated by iptables-save v1.2.8 on Fri Jul 11 13:09:46 2008
*nat
:PREROUTING ACCEPT [50175:3017466]
:POSTROUTING ACCEPT [8442:841575]
:OUTPUT ACCEPT [8439:841431]
-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.31.168.13
-A PREROUTING -d 201.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 25:110 -j DNAT --to-destination 172.31.168.13
-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 172.31.168.4
-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 20 -j DNAT --to-destination 172.31.168.4
-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.31.168.5
-A PREROUTING -s 192.168.0.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jul 11 13:09:46 2008

[ 本帖最后由 mdiane 于 2008-7-11 13:16 编辑 ]

ssffzz1

iptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -d www.163.com -j ACCEPT

加到那条了。规则顺序注意 一下。

mdiane

直接将我的规则中的“-A allow -s 192.168.0.179 -i eth1 -m mac --mac-source 00:11:25:70:B3:31 -j ACCEPT ”更改为iptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -d www.163.com -j ACCEPT
更改前可以上网，更改有不能上网，也不能访问163，但是很奇怪的是我配置只允许访问我们客户的网站就可以。
看了看www.163.com对应了几个IP，而客户的URL只对应一个IP，是这原因吗？个人觉得应该不是，因为IPTABLE会将域名解析成若干IP并对应道PC的LAN IP

[ 本帖最后由 mdiane 于 2008-7-11 15:30 编辑 ]

ssffzz1

应该有这个方面的原因。
你把所有的IP都加上，而不要用域名。

mdiane

THX，尝试中，如果是这个方面的原因所致，那偶也没啥说的了