Я установил RH 7.3 с iptables, и всё заработало, только не получается фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01, то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту проблему...
>Я установил RH 7.3 с iptables, и всё заработало, только не получается
>фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01,
>то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту
>проблему...А модуль mac подгружен?
man iptables на предмет опции -m
>А модуль mac подгружен?
>man iptables на предмет опции -mК сожалению я не нашёл в мане ничего про опцию -m, если можно, расскажи поподробнее про то как можно подгрузить модуль.
>К сожалению я не нашёл в мане ничего про опцию -m, если
>можно, расскажи поподробнее про то как можно подгрузить модуль.Наверно плохо искал, либо ман древний.
Лично я дополнительными модулями не пользовался, необходимости не было. Но по всем правилам для подгрузки дополнительного модуля используют опцию -m:
Твой пример должен выглядеть примерно так:
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
Спасибо большое, заработало...
Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :)
>Спасибо большое, заработало...
>Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :)
И вот вопрос:)
Для преобразования адресов я выбрал SNAT, записал правило: iptables -t nat -A POSTROUTING -s 192.168.12.0/24 -j SNAT --to-source (реальный ИП),но выпадает ошибка: Line 2 seems to have a -t table option.
Я так понимаю что опять не загружен какой-то модуль, или я не прав?
И ещё по поводу модулей: можно их загрузить раз и навсегда, а не подгружать в каждом правиле.
>>Спасибо большое, заработало...
>>Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :)
>
>
>И вот вопрос:)
>Для преобразования адресов я выбрал SNAT, записал правило: iptables -t nat -A
>POSTROUTING -s 192.168.12.0/24 -j SNAT --to-source (реальный ИП),но выпадает ошибка: Line
>2 seems to have a -t table option.
>Я так понимаю что опять не загружен какой-то модуль, или я не
>прав?
>И ещё по поводу модулей: можно их загрузить раз и навсегда, а
>не подгружать в каждом правиле.Все очень хорошо в мане описано:
...
TABLES
There are current three independent tables (which tables
are present at any time depends on the kernel configura-
tion options and which modules are present).-t, --table
This option specifies the packet matching table
which the command should operate on. If the kernel
is configured with automatic module loading, an
attempt will be made to load the appropriate module
for that table if it is not already there.The tables are as follows:
filter This is the default table. It contains the built-
in chains INPUT (for packets coming into the box
itself), FORWARD (for packets being routed through
the box), and OUTPUT (for locally-generated pack-
ets).nat This table is consulted when a packet that creates
a new connection is encountered. It consists of
three built-ins: PREROUTING (for altering packets
as soon as they come in), OUTPUT (for altering
locally-generated packets before routing), and
POSTROUTING (for altering packets as they are about
to go out).mangle This table is used for specialized packet alter-
ation. It has two built-in chains: PREROUTING (for
altering incoming packets before routing) and OUT-
PUT (for altering locally-generated packets before
routing)....
Это я уже читал, как я понял всё дела как раз в модуле, подскажите пжалуйста какой....
>Это я уже читал, как я понял всё дела как раз в
>модуле, подскажите пжалуйста какой....Я сам ipchains использую, поэтому точный ответ дать тебе немогу. Но маны по iptables (я их только сегодня в первый раз посмотрел) написаны довольно хорошо - попробуй почитать повнимательней. На сколько я понял, если в правиле указать протокол (-p, --protocol), то необходимые модули будут загружены автоматически (без их явного указания с помощью -m). Можешь посмотреть в /lib/iptables - там лежат все эти модули. Дополнительный хелп по модулю можно получить дав команду iptables -m имя_модуля_без_libipt -h.
Удачи!
>Я установил RH 7.3 с iptables, и всё заработало, только не получается
>фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01,
>то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту
>проблему...
Для этого в ядре установи опцию:
CONFIG_IP_NF_MATCH_MAC
для подгрузки (можещь ее сразу как опицей ядра cделать, чтоб потом как модуль отдельно не подгружать),
а потом делай то, как тебе здесь и советовали, например
iptables -A INPUT -p tcp -s 192.168.1.0/24 -m mac --mac-source 00:00:00:00:00:01 -j ACCEPT
т.е. с таким MAC-адресом из сети 192.168.1.0/24 можно войти на машину c iptables.>И вот вопрос:)
>Для преобразования адресов я выбрал SNAT, записал правило:
,,,,,,,
>Я так понимаю что опять не загружен какой-то модуль, или я не прав?Неправ. Зачем тебе SNAT, если ты просто маскируешь адреса?
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.0/24 -d any/0 -j MASQUERADE
вот так ты и замаскарадишь свою подсеть 192.168.1.0/24>И ещё по поводу модулей: можно их загрузить раз и навсегда, а не подгружать в каждом правиле.
Да, можно: в настройках ядра для этих модулей говоришь YES (а не module), и они становятся частью ядра.
Тогда сразу ещё вопросец: почему всё-таки не SNAT, его рекомендуют при статичных адресах, а он менее загружает систему.
И ещё.. Когда я в командной строке набираю это правило, то всё работает, а если я вставляю его в файл /etc/sysconfig/iptables, для того чтобы оно автоматически подгружалось при перезагрузке, при выполении выпадает ошибка: Line 2 seems to have a -t table option. Где грабли?
>Тогда сразу ещё вопросец: почему всё-таки не SNAT, его рекомендуют при статичных
>адресах, а он менее загружает систему.
>И ещё.. Когда я в командной строке набираю это правило, то всё
>работает, а если я вставляю его в файл /etc/sysconfig/iptables, для того
>чтобы оно автоматически подгружалось при перезагрузке, при выполении выпадает ошибка: Line
>2 seems to have a -t table option. Где грабли?Всё, этот вопрос я решил, но вот ещё грабли появились. Вот мои правила, которые загружаются автоматически:
#!/bin/sh*nat
:PREROUTING ACCEPT [1061:56047]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.12.0/255.255.255.0 -j SNAT --to-source (реальный ИП)
COMMIT
*filter
:INPUT DROP [110:13749]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20:1592]
-A INPUT -p TCP -m state --state RELATED -j ACCEPT
-A INPUT -s 192.168.12.52 -j ACCEPT
-A INPUT -m mac --mac 00:00:21:2A:A0:5F -j ACCEPT
COMMITА вот и вопросик: если есть предложения по улучшению, с удовольствием выслушаю...
И ещё: у меня появились проблемы с подключением к FTP, подскажите решение...