Как в linux можно ограничить доступ по IP к определенному порту?Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения принимались только с 1 ипа или подсети.
Как это организовать?
P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :>
>Как в linux можно ограничить доступ по IP к определенному порту?
>
>Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения
>принимались только с 1 ипа или подсети.
>
>Как это организовать?
>
>
>P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :>
http://ru.gentoo-wiki.com/Настройка_iptables_для_начинающих
>Как в linux можно ограничить доступ по IP к определенному порту?
>
>Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения
>принимались только с 1 ипа или подсети.
>
>Как это организовать?
>
>
>P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080
iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080в зависимомти от дистрибутива можно либо поправить конфиг у iptables и сделать /etc/init.d/iptables restart
либо добавлять из какого-нибудь /etc/rc.d/rc.local эти строчки при старте.
>>Как в linux можно ограничить доступ по IP к определенному порту?
>>
>>Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения
>>принимались только с 1 ипа или подсети.
>>
>>Как это организовать?
>>
>>
>>P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :>
>
>
>
>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j
>DROP # запретим от всех к тебе на порт 8080
>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j
>ACCEPT # разрешим от нужного IP к тебе на порт 8080
>
>
>в зависимомти от дистрибутива можно либо поправить конфиг у iptables и сделать
>/etc/init.d/iptables restart
>либо добавлять из какого-нибудь /etc/rc.d/rc.local эти строчки при старте.
Так работать не будет, строчки надо поменять местами.......
>Так работать не будет, строчки надо поменять местами.......пардон
попутал с ipf - там last match :(((
>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080
>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080А "твой ип" - это ип сетевого интерфейса? А если сервер в 3 сетях, то что писать?
>>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080
>>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080
>
>А "твой ип" - это ип сетевого интерфейса? А если сервер в
>3 сетях, то что писать?Если разрешено всем, а нужно запретить только одному на всех интерфейсах, то:
iptables -A INPUT -p tcp -s 'нужный_ip' --dport 8080 -j REJECT
>>>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080
>>>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080
>>
>>А "твой ип" - это ип сетевого интерфейса? А если сервер в
>>3 сетях, то что писать?
>
>Если разрешено всем, а нужно запретить только одному на всех интерфейсах, то:
>
>iptables -A INPUT -p tcp -s 'нужный_ip' --dport 8080 -j REJECTНаоборот говорю же. разрешено отовсюду, а надо, чтобы соединения принимались к примеру _только_ с 172.16.0.1/24 на 8080 порт
>>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080
>>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080
>
>А "твой ип" - это ип сетевого интерфейса? А если сервер в
>3 сетях, то что писать?
добавляешь опцию -i eth[0-9] - и правило действует применительно к инетрфейсу eth[0-9]PS: за то время что прошли посты от первого до последнего, можно было бы уже выучить наизусть man iptables... RTFM
.
>>PS: за то время что прошли посты от первого до последнего, можно
>>было бы уже выучить наизусть man iptables... RTFM
>
>Ну от ссылочки, где всё на _русском_ я бы не отказался :>
>Та ссылка которую тут писали не рабочая..
Линк целикоа рабочий и там все на русскомПрямо копишуеш ВЕСЬ линк и вставляеш URL браузера
>>>PS: за то время что прошли посты от первого до последнего, можно
>>>было бы уже выучить наизусть man iptables... RTFM
>>
>>Ну от ссылочки, где всё на _русском_ я бы не отказался :>
>>Та ссылка которую тут писали не рабочая..
>
>
>Линк целикоа рабочий и там все на русском
>
>Прямо копишуеш ВЕСЬ линк и вставляеш URL браузера
Вот линк на кешированную страницу из Goggle
http://72.14.221.104/search?q=cache:rE--Q4hXbpEJ:ru.gentoo-w...
А кстате почему строчки надо местами переставить?
Сначало открыть нужному, а потом закрыть всем? Какая-то несуразица :/
>А кстате почему строчки надо местами переставить?
>Сначало открыть нужному, а потом закрыть всем? Какая-то несуразица :/
потому что iptables происходит срабатывание по первому попавшемуся правилу (в отличие от некоторых других FW)
>>А кстате почему строчки надо местами переставить?
>>Сначало открыть нужному, а потом закрыть всем? Какая-то несуразица :/
>
>
>потому что iptables происходит срабатывание по первому попавшемуся правилу (в отличие от
>некоторых других FW)А 2 порта можно в 1 команду пихнуть? если да, то как? Или 2-мя строками надо?