Добрый день. Извеняюсь сразу если не туда написал. Помогите пожалуйста в решении проблемы. Попробовал заблокировать внутренний ip через webmin: Сеть-Межсетевой экран (firewall) добавил правило в Перенаправляемые пакеты (FORWARD)
Результат: пользователь всё равно ходит в интернет.
Попробовал из консоли iptables -D FORWARD -s 10.3.2.87 -j DROP
тоже без результатно.
Что я делаю не так, подскажите плиз.
Он у меня настроен 
В идеале я бы хотел получить маленький скрипт который загнать в шедулер и что бы он в определённое время отключал интернет у компа. И второй скрипт который бы включал всё обратно. Подскажите плиз. Этот адрес ходит в иннет через прокси. Прокси и есть данный роутер.
Значит нет. SuSEfirewall2 это такая же надстрока над iptables как и скрипты настройки webmin, только по навороченее.
Поэтому если начать править правила iptables из какого либо другого места кроме как через SuSEfirewall2. То эти правила не сохранятся, либо будут перезатираться после перезапуска фаервола. Поэтому все нужно настраисать через SuSEfirewall2, гибкость там ничем не ограничена, вам никто не мешает создавать свои правила iptables, если настроек самого SuSEfirewall2 не хватает. Посмотрите конфигурационный файл, там все расписано подробно.
Насчет того как сделать такой скрипт, не подскажу. Уверен что можно, но как, надо разбираться.
Тогда перефразирую вопрос. Как в susefirewall2 заблокировать исходящий трафик с внутреннего IP?
Попробовать воспользоваться правилом FW_SERVICES_DROP_INT
Я так понимаю у вас комп ходит через прокси, поэтому не уверен сработает ли оно перед тем как пакет уйдет на прокси.
Кстати если ничего не путаю то правило iptables -D FORWARD -s 10.3.2.87 -j DROP однозначно не сработало бы, так как находится в цепочке маршрутизации. В которую пакеты идущие через прокси явно не попадают.
Тут конечно сильно зависит от того как используется прокси, в прозрачном режиме или нет. Но если в обычном, то не проще ли блокировать доступ в интернет именно правилами сквида?
Прокси у всех отключил ради теста.
FW_SERVICES_DROP_INT
У меня нету такокого параметра в susefirewall2, есть только
FW_SERVICES_DROP_EXT=""
Не очень понял в чем будет тест. Без прости они по нату хотят? Или не ходят в интернет вообще…
Точно ? Одноименный параметр для внешней зоны есть, а для внутренней нет… Очень странно.
И кстати да, я не спросил, интерфейс который смотрит во внутрь сети помечен как INT? Иначе это правило работать не будет.
Да ходят в иннет, в susefirewall2 прописаны их ip в
FW_MASQ_NETS
Вот нету, до меня был админ может он чего эксперементировал.
Да помечен: FW_DEV_EXT=“any eth0” FW_DEV_INT=“eth1 eth2 eth3 eth4 eth5 ppp0”
Тогда тот параметр который я дал должен работать, проверяйте. Хотя если в FW_MASQ_NETS указаны отдельные адреса, а не диапазон, то по чему бы просто не убрать конкретные адрес из маскарадинга.
Ок. Подозреваю что файл почти пустой человек удалил все что не относится к его настройкам, то есть документация к параметрам в этом файле тоже отсутствует.
Тогда просто добавьте этот параметр. А ради документации(описания каждого параметра) стоит найти где нибудь оригинальный файл, и смотреть в него что бы узнать какие есть настройки у фаервола.