URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 76404
[ Назад ]

Исходное сообщение
"iptables закрыть ip адрес"
Отправлено HappyS , 25-Сен-07 12:50

У меня схема такая
*filter
:INPUT ACCEPT [6119:344155]
:FORWARD ACCEPT [1685:1247089]
:OUTPUT ACCEPT [13109:4296753]
:localhost - [0:0]
-A FORWARD -j localhost
COMMIT
*nat
:PREROUTING ACCEPT [3502:172884]
:POSTROUTING ACCEPT [106:6858]
:OUTPUT ACCEPT [85:5718]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195
COMMIT
мне нужно отрезать доступ некоторым ip адресам
вопрос - в каком месте это надо сделать - в разделе nat или в разделе filter и как правильно написать команду?
команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter

Содержание

iptables закрыть ip адрес,Oyyo, 13:53 , 25-Сен-07
- iptables закрыть ip адрес,HappyS, 14:28 , 25-Сен-07
  - iptables закрыть ip адрес,Oyyo, 14:45 , 25-Сен-07
    - iptables закрыть ip адрес,HappyS, 14:58 , 25-Сен-07
- iptables закрыть ip адрес,HappyS, 11:33 , 27-Сен-07

Сообщения в этом обсуждении

"iptables закрыть ip адрес"
Отправлено Oyyo , 25-Сен-07 13:53

>У меня схема такая
>*filter
>:INPUT ACCEPT [6119:344155]
>:FORWARD ACCEPT [1685:1247089]
>:OUTPUT ACCEPT [13109:4296753]
>:localhost - [0:0]
>-A FORWARD -j localhost
для чего эти две строчки с localhost ?
>COMMIT
>*nat
>:PREROUTING ACCEPT [3502:172884]
>:POSTROUTING ACCEPT [106:6858]
>:OUTPUT ACCEPT [85:5718]
>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195
этьо правило напиши проще
-A POSTROUTING -o ethX -j SNAT --to -source 195.195.195.195
где ethX интерфейс смотрящий в интернет
>COMMIT
>мне нужно отрезать доступ некоторым ip адресам
>вопрос - в каком месте это надо сделать - в разделе nat
>или в разделе filter и как правильно написать команду?
>команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter
>
для фильтрации предназначена таблица filter
в ней и делаются ограничения
цепочка INPUT предназначена для входящих пакетов т.е. для тех что идут непосредственно на роутер (http, ftp и т.д.)
для запрета хождения в инет
-I FORWARD -s 192.168.0.8 -j DROP
http://www.opennet.me/docs/RUS/iptables/index.html

"iptables закрыть ip адрес"
Отправлено HappyS , 25-Сен-07 14:28

>-I FORWARD -s 192.168.0.8 -j DROP
помогло
а как быстро можно перезапукать iptables без перезагрузки linux
и как вставить список ip адресов вместо одного ip

"iptables закрыть ip адрес"
Отправлено Oyyo , 25-Сен-07 14:45

>
>>-I FORWARD -s 192.168.0.8 -j DROP
>
>помогло
>
>а как быстро можно перезапукать iptables без перезагрузки linux
service iptables restart
или
/etc/rc.d/init.d/iptables restart
>и как вставить список ip адресов вместо одного ip
только с помощью маски, например 192.168.0.8/30

"iptables закрыть ip адрес"
Отправлено HappyS , 25-Сен-07 14:58

???
-I FORWARD --src-range 192.168.0.8-192.168.0.28 -j DROP
а как же осуществить black list - наверно есть обход
PS у меня привязаны ip и менять их нельзя чтобы собрать в маску

"iptables закрыть ip адрес"
Отправлено HappyS , 27-Сен-07 11:33

я создал алиасы на интерфейсе eth1
eth1:1 -> 192,168,1,1
eth1:2 -> 192,168,2,1
как мне сделать запрет на каждом алиасе, чтобы одна подсеть не видела другую или алиасы должны быть строго в одной подсети?
-A FORWARD -i eth1:1 -s ! 192.168.1.0/255.255.255.0 -j DROP
-A FORWARD -i eth1:2 -s ! 192.168.2.0/255.255.255.0 -j DROP
будет ли конфликт?