Как через iptables запретить пакеты в интернет?

Question

[Денис Сечин]

Есть шлюз на ubuntu-server он же фаервол. Нужно запретить определенному айпи отправлять и получать любые пакеты через внешний интерфейс. Я попробовал сделать так:

$ip -A FORWARD -s 10.40.1.250 -i $EXTERNAL -j DROP
$ip -A FORWARD -o $EXTERNAL -d 10.40.1.250 -j DROP

И так:

iptables -I OUTPUT -s 10.40.1.250 -m conntrack --ctstate NEW, ESTABLISHED -j DROP

Но не помогает, доступ к интернет все равно есть. Есть идеи как заблокировать передачу пакетов и прием из внешнего интерфейса? спасибо

Answer 1

[krosh]

iptables -I FORWARD -s 10.40.1.250 -i $LAN_ETH -j DROP

Comments

[Денис Сечин]

Я сделал так:
$ip -A FORWARD -s 10.40.1.250 -o $EXTERNAL -m conntrack --ctstate NEW -j DROP

Остаются доступны ресурсы по http

[krosh]

Денис Сечин, может у Вас прокси прозрачный настроен? Правило стоит выше в цепочке, поэтому обрабатывается первjй. Поэтому я и написал изначально команду -I - вставка в цепочку, и когда она идет без номера, то правило вставляется в самое начало.

Какой смысл проверять состояние пакета, если нужно запретить весь трафик? Надо убрать этот критерий.

Покажите
iptables-save
ip a
ip r s

[Денис Сечин]

krosh, Да, точно забыл сквид потушить, спс