想实现只允许某PC只能访问指定的一个网站

mdiane

想实现只允许某PC只能访问指定的一个网站。\r\n\r\n我用如下的IPTABLES规则实现了只允许某台PC上网，\r\niptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -j ACCEPT\r\n但是想要实现该PC只能上指定网站却不行，如下：\r\niptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -d www.163.com -j ACCEPT\r\n\r\n－－注：\r\niptables -N allow\r\niptables -A INPUT -j allow\r\niptables -A FORWARD -j allow\r\n\r\n\r\n排除域名解析问题，因为IPTABLES -L -N 能看到域名已经解析成IP地址\r\n\r\n为啥呢？望大家帮忙解答。\n\n[ 本帖最后由 mdiane 于 2008-7-11 13:15 编辑 ]

mdiane

[root@gateway sysconfig]# iptables-save \r\n# Generated by iptables-save v1.2.8 on Fri Jul 11 13:09:46 2008\r\n*filter\r\n:INPUT DROP [0:0]\r\n:FORWARD DROP [0:0]\r\n:OUTPUT ACCEPT [415117:218454503]\r\n:allow - [0:0]\r\n-A INPUT -j allow \r\n-A FORWARD -j allow \r\n-A allow -i lo -j ACCEPT \r\n-A allow -p icmp -m icmp --icmp-type 255 -j ACCEPT \r\n-A allow -p esp -j ACCEPT \r\n-A allow -p ah -j ACCEPT \r\n-A allow -m state --state RELATED,ESTABLISHED -j ACCEPT \r\n-A allow -s 192.168.0.0/255.255.255.0 -d 172.31.168.0/255.255.255.224 -i eth1 -p tcp -m multiport --dports 20,21,25,110,80 -j ACCEPT \r\n-A allow -s 192.168.0.6 -i eth1 -j ACCEPT \r\n-A allow -s 192.168.1.0/255.255.255.0 -d 192.168.0.11 -j ACCEPT \r\n-A allow -s 192.168.0.179 -i eth1 -m mac --mac-source 00:11:25:70:B3:31 -j ACCEPT \r\n-A allow -s 192.168.0.69 -i eth1 -m mac --mac-source 00:11:43:4F:26:BE -j ACCEPT \r\n-A allow -s 192.168.0.0/255.255.255.0 -i eth1 -j DROP \r\n-A allow -j REJECT --reject-with icmp-host-prohibited \r\nCOMMIT\r\n# Completed on Fri Jul 11 13:09:46 2008\r\n# Generated by iptables-save v1.2.8 on Fri Jul 11 13:09:46 2008\r\n*nat\r\n:PREROUTING ACCEPT [50175:3017466]\r\n:POSTROUTING ACCEPT [8442:841575]\r\n:OUTPUT ACCEPT [8439:841431]\r\n-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.31.168.13 \r\n-A PREROUTING -d 201.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 25:110 -j DNAT --to-destination 172.31.168.13 \r\n-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 172.31.168.4 \r\n-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 20 -j DNAT --to-destination 172.31.168.4 \r\n-A PREROUTING -d 202.XXX.XXX.XXX -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.31.168.5 \r\n-A PREROUTING -s 192.168.0.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 \r\n-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE \r\nCOMMIT\r\n# Completed on Fri Jul 11 13:09:46 2008\n\n[ 本帖最后由 mdiane 于 2008-7-11 13:16 编辑 ]

ssffzz1

iptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -d www.163.com -j ACCEPT\r\n\r\n加到那条了。规则顺序注意 一下。

mdiane

直接将我的规则中的“-A allow -s 192.168.0.179 -i eth1 -m mac --mac-source 00:11:25:70:B3:31 -j ACCEPT ”更改为iptables -A allow -i eth1 -s 192.168.0.179 -m mac --mac-source 00:11:25:70:b3:31 -d www.163.com -j ACCEPT\r\n更改前可以上网，更改有不能上网，也不能访问163，但是很奇怪的是我配置只允许访问我们客户的网站就可以。\r\n看了看www.163.com对应了几个IP，而客户的URL只对应一个IP，是这原因吗？个人觉得应该不是，因为IPTABLE会将域名解析成若干IP并对应道PC的LAN IP\n\n[ 本帖最后由 mdiane 于 2008-7-11 15:30 编辑 ]

ssffzz1

应该有这个方面的原因。\r\n你把所有的IP都加上，而不要用域名。

mdiane

THX，尝试中，如果是这个方面的原因所致，那偶也没啥说的了