Направьте просмотр веб-страниц через отдельный iterface
Я убрал проблематичные записи от таблицы MSsubscriptions в базе данных распространения.
BEGIN TRANSACTION УДАЛЯЕТ ИЗ dbo. MSsubscriptions, ГДЕ publisher_db = 'TESTDB'
ВЫБЕРИТЕ * ИЗ dbo. MSsubscriptions, ГДЕ publisher_db = 'TESTDB'
ОТКАТ/ФИКСАЦИЯ
Можно написать правила iptables, совпадающие по номерам портов, но это не было бы моей рекомендацией просто потому, что в правилах iptables легко ошибиться. Ткане может иметь в виду исходящие запросы к веб-страницам из своей локальной сети, а не входящий доступ к общедоступному веб-серверу - в этом случае ответом может быть прокси-сервер. По моему опыту, Squid - отличный пакет для этой цели, и его также можно использовать для обеспечения соблюдения политик допустимого использования. Если вы пойдете по этому пути, не забудьте реализовать автоматическое обнаружение веб-прокси. С другой стороны, если это делается с целью предоставления услуг внешним пользователям в Интернете, то создание DMZ было бы, на мой взгляд, правильным подходом.
Вы не можете контролировать веб-трафик по сравнению с другими типами трафика с помощью iptables. Почему бы нет? Единственный способ определить, что является «веб-трафиком», а что нет, - это какой порт используется. Я считаю, что веб-трафик в основном использует порт 80 для http и 443 для https.
Чтобы направить веб-трафик на определенный интерфейс, вот что вам нужно сделать на высоком уровне.
Вы должны настроить серверы доменных имен (DNS ), чтобы имя домена указывало на IP-адрес вашего маршрутизатора, а затем настройте маршрутизатор, чтобы выполнить переадресацию порта 80 на адрес wlan0, который равен 192.168.1.70.
Вы также можете настроить свой веб-сервер для прослушивания только интерфейса wlan0, хотя это вряд ли понадобится после того, как вы правильно маршрутизируете все веб-порты на wlan0.
(Я предполагаю, что у вас должен быть маршрутизатор, потому что IP-адреса, которые вы даете, начинаются с 192.168. Таким образом, это локальные сетевые адреса, которые нельзя использовать на DNS-сервере или получить доступ через Интернет. Это означает, что вы должны иметь маршрутизатор, который виден в Интернете, а затем перенаправляет порты туда, где вы хотите.)
Кроме того, вы сказали, что хотите, чтобы «весь остальной трафик» шел на eth1. Какой еще трафик? Если вы ссылаетесь на электронную почту, вы можете настроить переадресацию портов для этих портов, чтобы они указывали на интерфейс eth1.
Фактически, вы, вероятно, можете настроить переадресацию портов для отправки «всех других портов» на eth1. Однако это считается очень небезопасным и может позволить хакерам проникнуть на ваш сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.
168. Таким образом, это адреса локальной сети, которые нельзя использовать в DNS-сервере или получить доступ через Интернет. Это означает, что у вас должен быть маршрутизатор, который виден в Интернете, а затем перенаправляет порты туда, где вы хотите.)Кроме того, вы сказали, что хотите, чтобы «весь остальной трафик» шел на eth1. Какой еще трафик? Если вы ссылаетесь на электронную почту, вы можете настроить переадресацию портов для этих портов, чтобы они указывали на интерфейс eth1.
Фактически, вы, вероятно, можете настроить переадресацию портов для отправки «всех других портов» на eth1. Однако это считается очень небезопасным и может позволить хакерам проникнуть на ваш сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.
168. Таким образом, это локальные сетевые адреса, которые нельзя использовать на DNS-сервере или получить доступ через Интернет. Это означает, что у вас должен быть маршрутизатор, который виден в Интернете, а затем перенаправляет порты туда, где вы хотите.)Кроме того, вы сказали, что хотите, чтобы «весь остальной трафик» шел на eth1. Какой еще трафик? Если вы ссылаетесь на электронную почту, вы можете настроить переадресацию портов для этих портов, чтобы они указывали на интерфейс eth1.
Фактически, вы, вероятно, можете настроить переадресацию портов для отправки «всех других портов» на eth1. Однако это считается очень небезопасным и может позволить хакерам проникнуть на ваш сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.
Это означает, что у вас должен быть маршрутизатор, который виден в Интернете, а затем перенаправляет порты туда, где вы хотите.)Кроме того, вы сказали, что хотите, чтобы «весь остальной трафик» шел на eth1. Какой еще трафик? Если вы ссылаетесь на электронную почту, вы можете настроить переадресацию портов для этих портов, чтобы они указывали на интерфейс eth1.
Фактически, вы, вероятно, можете настроить переадресацию портов для отправки «всех других портов» на eth1. Однако это считается очень небезопасным и может позволить хакерам проникнуть на ваш сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.
Это означает, что у вас должен быть маршрутизатор, который виден в Интернете, а затем перенаправляет порты туда, где вы хотите.)Кроме того, вы сказали, что хотите, чтобы «весь остальной трафик» шел на eth1. Какой еще трафик? Если вы ссылаетесь на электронную почту, вы можете настроить переадресацию портов для этих портов, чтобы они указывали на интерфейс eth1.
Фактически, вы, вероятно, можете настроить переадресацию портов для отправки «всех других портов» на eth1. Однако это считается очень небезопасным и может позволить хакерам проникнуть на ваш сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.
перейти на eth1. Какой еще трафик? Если вы ссылаетесь на электронную почту, вы можете настроить переадресацию портов для этих портов, чтобы они указывали на интерфейс eth1.Фактически, вы, вероятно, можете настроить переадресацию портов для отправки «всех других портов» на eth1. Однако это считается очень небезопасным и может позволить хакерам проникнуть на ваш сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.
перейти на eth1. Какой еще трафик? Если вы ссылаетесь на электронную почту, вы можете настроить переадресацию портов для этих портов, чтобы они указывали на интерфейс eth1.Фактически, вы, вероятно, можете настроить переадресацию портов для отправки «всех других портов» на eth1. Однако это считается очень небезопасным и может позволить хакерам проникнуть на ваш сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.
Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер. Обычно перенаправляют только определенные порты для определенного трафика, который вы хотите разрешить на свой сервер.Пара правил iptables, например:
-A MY_OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A MY_OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
, предотвратит отправку всего, кроме запросов просмотра веб-страниц, с вашего сервера Linux, но, как уже было указано, вам нужно знать, как использовать iptables, иначе вы рискуете ошибиться.
В любом случае запросы на просмотр веб-страниц предположительно приходят с клиентских компьютеров в вашей локальной сети? Возможно, вы используете сервер Linux в качестве маршрутизатора / шлюза, иначе как он будет перехватывать трафик с вашего клиентского ПК? Если это так, я бы действительно рекомендовал вместо этого использовать готовый маршрутизатор; например, для небольшой сети стандартное устройство Netgear предоставит простой веб-интерфейс управления, с помощью которого вы сможете реализовать правила брандмауэра, тогда как сервер Linux, подключенный к Интернету, без надежных знаний iptables, действительно вызывает проблемы.
Для этого необходимо использовать маршрутизацию политики с маркировкой брандмауэра , потому что вы хотите использовать маршрутизацию на основе чего-то другого, кроме исходный и целевой IP-адреса.
Сначала вам нужно настроить отдельную таблицу маршрутизации, которая будет отправлять пакеты из wlan0.
echo 1 wlan0 >> /etc/iproute2/rt_tables
ip route add 192.168.1.0/24 dev wlan0 table wlan0
ip route add default via 192.168.1.1 table wlan0
(Первую команду нужно запускать только один раз.)
Затем мы сообщаем механизму маршрутизации чтобы использовать эту новую таблицу для пакетов с отметкой "1".
ip rule add fwmark 1 lookup wlan0
И, наконец, мы используем iptables для отметки интересующих нас пакетов.
iptables --table mangle --append PREROUTING --protocol tcp --dport http --jump MARK --set-mark 1
iptables --table mangle --append PREROUTING --protocol tcp --dport https --jump MARK --set-mark 1