еще один вопрос про фильтрацию внешнего трафика

Автор beelzebubbie, 15 Июня 2010, 02:19

« предыдущая тема - следующая тема »

0 Пользователей и 6 Гостей просматривают эту тему.

beelzebubbie

15 Июня 2010, 02:19 Последнее редактирование: 15 Июня 2010, 02:21 от beelzebubbie
Задача стоит таким образом:

имеется роутер linksys WRT610n с прошивкой DD-WRT, подключенный к мегалайн через модем, к рутеру подключаются по воздуху различные устройства, в том числе и детский компьютер.

необходимо ограничить детскому компу доступ к инету только внутренними ресурсами. с помощью редактирования iptables на роутере проблему более-менее удалось решить, но результат не вполне удовлетворительный ((

вот что я сделал: добавил цепочку wan_kaz:

[font="Courier New"]Chain wan_kaz (2 references)
 pkts bytes target     prot opt in     out     source               destination
 1946  192K ACCEPT     0    --  any    any     anywhere             212.19.128.0/19
  443 54807 ACCEPT     0    --  any    any     anywhere             212.154.128.0/17
  861  179K ACCEPT     0    --  any    any     anywhere             82.200.128.0/17
    0     0 ACCEPT     0    --  any    any     anywhere             88.204.128.0/17
    0     0 ACCEPT     0    --  any    any     anywhere             89.218.0.0/16
 4120  683K ACCEPT     0    --  any    any     anywhere             92.46.0.0/15
 1345  251K ACCEPT     0    --  any    any     anywhere             95.56.0.0/14
    0     0 ACCEPT     0    --  any    any     anywhere             178.88.0.0/14
  112  5824 REJECT     tcp  --  any    any     anywhere             anywhere            reject-with tcp-reset
    0     0 REJECT     0    --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable[/font]

и в цепочку FORWARD первым правилом:

[font="Courier New"]Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   85  8800 wan_kaz    0    --  any    vlan2   anywhere             anywhere            MAC 00:1A:6B:91:9C:FD[/font]

[font="Courier New"](vlan2 - это WAN интерфейс, MAC - детского компа)
[/font]

[font="Lucida Sans Unicode"]вроде бы это все, несмотря на то, что это мой первый подобного рода опыт, работает, есть проблема - если страница с сайта, расположенного на внутренних ресурсах, содержит элементы с внешних ресурсов, типа google-analytics или разнообразные counters, то ессно, увидеть страницу удается только после того, как выйдут все таймауты для всех подобных внешних ссылок... ну и разумеется, для попыток открыть внешний ресурс хотелось бы получать немедленный отлуп, а не минуту ожидания... я полагал, что поможет мне в этом reject-with tcp-reset, но, видимо, я был совершенно неправ ))

Прошу указать мне на мои ошибки в решении данной задачи[/font]

B@F

Цитата: beelzebubbie от 15 Июня 2010, 02:19[font="Lucida Sans Unicode"]увидеть страницу удается только после того, как выйдут все таймауты для всех подобных внешних ссылок... [/font]

Я не много не потеме, просто читая вспомнил. Я так понял, что пока не загрузится вся страничка у тебя не отоброжается в браузере. Так это браузер тако, для лисы есть по этому поводу плагин специальный, точно знаю, ставишь его и страница открывается по мере загрузки, а не когда все загрузится. А у меня опера и такой проблемы вообще нет. 
Поправьте, если я ошибаюсь, буду тока рад.

beelzebubbie

Цитата: B@F от 15 Июня 2010, 08:20Я не много не потеме, просто читая вспомнил. Я так понял, что пока не загрузится вся страничка у тебя не отоброжается в браузере. Так это браузер тако, для лисы есть по этому поводу плагин специальный, точно знаю, ставишь его и страница открывается по мере загрузки, а не когда все загрузится. А у меня опера и такой проблемы вообще нет. 

вот, у меня тоже опера, однако сразу не открывается. однако на мой взгляд проблема не в этом, а в том, что браузер ОЖИДАЕТ ответа и по таймауту понимает, что ответа не будет. А надо так, чтобы он понимал сразу - например так, как когда нет шлюза по умолчанию или например страница заблокирована файрволом.