Вот какой вопрос возник.

ALTLinux Server 5.0 и куча клиентов.

Значит возникает задача: отключить инет всем кроме одного клиента

iptables -t nat -A PREROUTING ! -s 192.186.0.хх -p tcp REDIRECT --to-ports 3129 - вот такой не особо корректной, наверное, командой я это делаю и все сообщения получают, что порт не отвечает.

Как направить всех на страничку, лежащую на сервере по адресу 192.168.0.1/err/index.htm к примеру?

PREROUTING и REDIRECT iptables проглотил и не ругался? Вы хотели этой штукой всех, кроме 192.186.0.хх переправить на порт 3129? Как то так:

-A PREROUTING -p tcp  ! -s 192.186.0.хх  -j DNAT --to-destination куда.всех.кроме.указанного:порт

Ну и по куда.всех.кроме.указанного:порт вешаем нужную страницу. При желании -p tcp --dport 80, т.е. указываем порт.

REDIRECT в табличку nat без проблем вписывается... DNAT попробую.

как я понял при использовании --to-destination дальше идёт ip, 192.168.0.1 к примеру, а вот 192.168.0.1/er/index.htm уже не катит.

А как на порт страничку повесить, сори за невежество...

> REDIRECT в табличку nat без проблем вписывается... 

Интересно как, куда и с помощью чего Вы это писали.

> А как на порт страничку повесить, сори за невежество...

С Apache в общих чертах знакомы?

UPD

В конфиг apache

Listen порт
NameVirtualHost 192.168.0.1:порт
<VirtualHost 192.168.0.1:порт> 
  DocumentRoot "/var/www/er/index.htm" 
</VirtualHost>

Вместо  /var/www/ указываете Ваш путь.

А чем не устраивает перенаправлять всех на прокси, а на прокси уже указать страницу, которую отображать при блокировки?

У меня так стоит перенаправление при фильтрации по белым спискам. Все что не в списке автоматом заворачивается на window.edu.ru

Это как бы проще чем насиловать iptables, так можно каждой группе свою страницу показывать, и если нужно то и расписание блокировки привязать.

Спасибо Viktor, Илья, буду пробовать.

Сергей, а техническая поддержка что ответила?

Как-то так:

Чтобы просто блокировать клиента можно использовать правило iptables:

iptables -I FORWARD -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -s 192.186.0.хх -j ACCEPT

Все пакеты с адресом отправителя 192.186.0.хх будут пропущены в интернет, а все остальные из подсети 192.168.0.0/24 будут заблокированы

Правило будет работать если клиенты ходят в интернет через NAT Если хотите показать клиенту html-страничку, что он заблокирован нужно настроить прокси-сервер
Видео по настройке прокси: http://www.youtube.com/watch?v=6Q_-gCk7HV0
Также ознакомьтесь с этой статьей: http://www.opennet.ru/base/net/squid_inst.txt.html

В течении часа должна прийти прокурорская проверка контент-фильтрации.
Так что скоро опишу что проверяют