The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables закрыть ip адрес"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"iptables закрыть ip адрес"  
Сообщение от HappyS email(ok) on 25-Сен-07, 12:50 
У меня схема такая
*filter
:INPUT ACCEPT [6119:344155]
:FORWARD ACCEPT [1685:1247089]
:OUTPUT ACCEPT [13109:4296753]
:localhost - [0:0]
-A FORWARD -j localhost
COMMIT
*nat
:PREROUTING ACCEPT [3502:172884]
:POSTROUTING ACCEPT [106:6858]
:OUTPUT ACCEPT [85:5718]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195
COMMIT
мне нужно отрезать доступ некоторым ip адресам
вопрос - в каком месте это надо сделать - в разделе nat или в разделе filter и как правильно написать команду?
команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables закрыть ip адрес"  
Сообщение от Oyyo on 25-Сен-07, 13:53 
>У меня схема такая
>*filter
>:INPUT ACCEPT [6119:344155]
>:FORWARD ACCEPT [1685:1247089]
>:OUTPUT ACCEPT [13109:4296753]
>:localhost - [0:0]
>-A FORWARD -j localhost

для чего эти две строчки с localhost ?

>COMMIT
>*nat
>:PREROUTING ACCEPT [3502:172884]
>:POSTROUTING ACCEPT [106:6858]
>:OUTPUT ACCEPT [85:5718]
>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195

этьо правило напиши проще
-A POSTROUTING -o ethX -j SNAT --to -source 195.195.195.195
где ethX интерфейс смотрящий в интернет

>COMMIT
>мне нужно отрезать доступ некоторым ip адресам
>вопрос - в каком месте это надо сделать - в разделе nat
>или в разделе filter и как правильно написать команду?
>команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter
>

для фильтрации предназначена таблица filter
в ней и делаются ограничения
цепочка INPUT предназначена для входящих пакетов т.е. для тех что идут непосредственно на роутер (http, ftp и т.д.)
для запрета хождения в инет
-I FORWARD -s 192.168.0.8 -j DROP

http://www.opennet.ru/docs/RUS/iptables/index.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables закрыть ip адрес"  
Сообщение от HappyS email(ok) on 25-Сен-07, 14:28 

>-I FORWARD -s 192.168.0.8 -j DROP

помогло

а как быстро можно перезапукать iptables без перезагрузки linux
и как вставить список ip адресов вместо одного ip


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables закрыть ip адрес"  
Сообщение от Oyyo on 25-Сен-07, 14:45 
>
>>-I FORWARD -s 192.168.0.8 -j DROP
>
>помогло
>
>а как быстро можно перезапукать iptables без перезагрузки linux

service iptables restart
или
/etc/rc.d/init.d/iptables restart

>и как вставить список ip адресов вместо одного ip

только с помощью маски, например 192.168.0.8/30

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables закрыть ip адрес"  
Сообщение от HappyS email(ok) on 25-Сен-07, 14:58 
???
-I FORWARD --src-range 192.168.0.8-192.168.0.28 -j DROP
а как же осуществить black list - наверно есть обход
PS у меня привязаны ip и менять их нельзя чтобы собрать в маску

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "iptables закрыть ip адрес"  
Сообщение от HappyS email(ok) on 27-Сен-07, 11:33 
я создал алиасы на интерфейсе eth1
eth1:1 -> 192,168,1,1
eth1:2 -> 192,168,2,1
как мне сделать запрет на каждом алиасе, чтобы одна подсеть не видела другую или алиасы должны быть строго в одной подсети?
-A FORWARD -i eth1:1 -s ! 192.168.1.0/255.255.255.0 -j DROP
-A FORWARD -i eth1:2 -s ! 192.168.2.0/255.255.255.0 -j DROP
будет ли конфликт?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру