URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84564
[ Назад ]

Исходное сообщение
"iptables. группирование хостов"
Отправлено jj , 19-Мрт-09 12:45

Привет всем.
Подскажите пожалуйста возможна ли в iptables группировка нескольких ip-адресов в логическую группу.
Хочу как в PF:
pass from { $первый $второй $третий } to any.
Сам PF уже разворачивает этот список и создаёт 3 правила.
Есть ли подобное в iptables?Или только страх с циклами?
Т.к. насколько я понял для опции "-s"(--source) нельзя указать несколько ip адресов через запятую.

Содержание

iptables. группирование хостов,Andrey Mitrofanov, 13:12 , 19-Мрт-09
iptables. группирование хостов,jj, 13:39 , 19-Мрт-09
- чем повернулись, тем и интервйес,Andrey Mitrofanov, 14:04 , 19-Мрт-09
  - чем повернулись, тем и интервйес,jj, 14:10 , 19-Мрт-09
    - чем повернулись, тем и интервйес,tux2002, 14:36 , 19-Мрт-09
    - чем повернулись, тем и интервйес,Andrey Mitrofanov, 14:37 , 19-Мрт-09
- iptables. группирование хостов,angra, 21:16 , 19-Мрт-09

Сообщения в этом обсуждении

"iptables. группирование хостов"
Отправлено Andrey Mitrofanov , 19-Мрт-09 13:12

>Привет всем.
>Подскажите пожалуйста возможна ли в iptables группировка нескольких ip-адресов в логическую группу.
>
>Хочу как в PF:
>pass from { $первый $второй $третий } to any.
>Сам PF уже разворачивает этот список и создаёт 3 правила.
>Есть ли подобное в iptables?Или только страх с циклами?
>Т.к. насколько я понял для опции "-s"(--source) нельзя указать несколько ip адресов
>через запятую.
Генератор правил / обёртка iptables. Например, firehol:
    LLAN="10.1.0.0/16 10.3.2.0/24"
interface "eth0" users
  group with src "${LLAN}"
        client all accept
        #
    I_SERVE="squid webcache dns ping ntp"
        server "${I_SERVE}" accept
        server http reject
        #
    ADMIN="10.3.2.13 10.3.2.40 10.1.50.96"
    PEERS=""
        server "ssh squid_icp" accept src "${ADMIN} ${PEERS}"
  group end
http:/search.shtml?words=firehol&sort=score&exclude=&restric...
B) http:/openforum/vsluhforumID1/82424.html#3

"iptables. группирование хостов"
Отправлено jj , 19-Мрт-09 13:39

>Привет всем.
>Подскажите пожалуйста возможна ли в iptables группировка нескольких ip-адресов в логическую группу.
>
>Хочу как в PF:
>pass from { $первый $второй $третий } to any.
>Сам PF уже разворачивает этот список и создаёт 3 правила.
>Есть ли подобное в iptables?Или только страх с циклами?
>Т.к. насколько я понял для опции "-s"(--source) нельзя указать несколько ip адресов
>через запятую.
ясно.. жаль конечно.. в линуксе всегда пользовательский интерфейс был через зад. один tc чего стоит..
а тут ещё оказывается и iptables такой простой штуки не может.

"чем повернулись, тем и интервйес"
Отправлено Andrey Mitrofanov , 19-Мрт-09 14:04

>>Хочу как в PF:
Заднепроходная постановка задачи привела к...
>ясно.. жаль конечно.. в линуксе всегда пользовательский интерфейс был через зад.
...заднепроходным выводам.
Ну, сходите ещё к аффтарам PF -- мол, _хочу_ порт на линукс. Получите массу [такога же] _удовольствия_.
Вас ведь получение результата не интересует, всё больше привычные радости?

"чем повернулись, тем и интервйес"
Отправлено jj , 19-Мрт-09 14:10

>[оверквотинг удален]
>Заднепроходная постановка задачи привела к...
>
>>ясно.. жаль конечно.. в линуксе всегда пользовательский интерфейс был через зад.
>
>...заднепроходным выводам.
>
>Ну, сходите ещё к аффтарам PF -- мол, _хочу_ порт на линукс.
>Получите массу [такога же] _удовольствия_.
>
>Вас ведь получение результата не интересует, всё больше привычные радости?
какие радости имелись в виду непонятно. честно.
Ради интереса, Andrey Mitrofanov, скажите пожалуйста, как по вашему должен был бы "правильно" звучать мой пост?
Вы будете отрицать что интерфейс для работы с iptables и особенно tc не убогий ????????????????????????????????????????????????????????????????????????????????????????????????????

"чем повернулись, тем и интервйес"
Отправлено tux2002 , 19-Мрт-09 14:36

>>[оверквотинг удален]
>>Заднепроходная постановка задачи привела к...
>>
>>>ясно.. жаль конечно.. в линуксе всегда пользовательский интерфейс был через зад.
>
Цикл на bash е не написать?
for host in $HOSTS
do
done

"чем повернулись, тем и интервйес"
Отправлено Andrey Mitrofanov , 19-Мрт-09 14:37

>какие радости имелись в виду непонятно. честно.
Это ничего.
>Ради интереса, Andrey Mitrofanov, скажите пожалуйста, как по вашему должен был бы
>"правильно" звучать мой пост?
Тот, который про Ваш зад -- вообще не должен был "звучать". Так понятнее?
>Вы будете отрицать что интерфейс для работы с iptables и особенно tc
С чего бы это я стал с Вами это обсуждать?

"iptables. группирование хостов"
Отправлено angra , 19-Мрт-09 21:16

Да, pf разворачивающий набор адресов в отдельные правила это руль, а iptables позволяющий в _одном_ правиле матчить тысячи адресов это убого. Откуда вы такие беретесь?
Читать до просветления http://ipset.netfilter.org/