URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4821
[ Назад ]

Исходное сообщение
"iptables -- DROP пакетов n-размера."
Отправлено fire002 , 01-Апр-11 17:42

Доброго времени суток.
Вобщем, стоит задача, дропать все пакеты, размером от 1430 до 1500 байт.
Примерно накидал:
iptables -A INPUT -p udp --dport 27015 --connbytes 1430:1500 -j REJECT
Но, на debian'e:
iptables v1.4.2: Unknown arg `(null)'
На centOS
iptables v1.3.5: Unknown arg `--connbytes'
Try `iptables -h' or 'iptables --help' for more information.
(пошел обновлять)
Собственно, 2 вопроса, подскажите рабочее правило для блокировки пакетов размером 1430-1500 на n-порту)
И Как обновить iptables на центе.
Делал так:
wget http://www.netfilter.org/projects/iptables/files/iptables-1....
tar -xjvf iptables-1.4.10.tar.bz2
cd iptables-1.4.10
./configure
make
make install
Но по прежнему, 1.3.5

Содержание

iptables -- DROP пакетов n-размера.,stereoPANDA, 18:42 , 01-Апр-11
- iptables -- DROP пакетов n-размера.,stereoPANDA, 18:46 , 01-Апр-11
  - iptables -- DROP пакетов n-размера.,fire002, 20:42 , 01-Апр-11
iptables -- DROP пакетов n-размера.,pavel_simple, 23:50 , 03-Апр-11

Сообщения в этом обсуждении

"iptables -- DROP пакетов n-размера."
Отправлено stereoPANDA , 01-Апр-11 18:42

> cd iptables-1.4.10
> ./configure
> make
> make install
> Но по прежнему, 1.3.5
То же самое. После этого:
hostname# iptables -v
iptables v1.4.4: no command specified
Try `iptables -h' or 'iptables --help' for more information.
hostname# bash
root@sudakov:/home/iptables-1.4.10# iptables
iptables v1.4.10: no command specified
Я не знаю почему так.
А насчет команды, то нужно почитать ман. В вашем случае будет вот так:
root@hostname:/home/iptables-1.4.10# iptables -A INPUT -p udp --dport 27015 -m connbytes --connbytes 1430:1500 --connbytes-dir both --connbytes-mode bytes -j REJECT

"iptables -- DROP пакетов n-размера."
Отправлено stereoPANDA , 01-Апр-11 18:46

И всегда интересовало, в чем преимущество сервера КС на линуксе?

"iptables -- DROP пакетов n-размера."
Отправлено fire002 , 01-Апр-11 20:42

> И всегда интересовало, в чем преимущество сервера КС на линуксе?
В удобных инструментах борьбы с всякого рода мудаками -)

"iptables -- DROP пакетов n-размера."
Отправлено pavel_simple , 03-Апр-11 23:50

>[оверквотинг удален]
> на n-порту)
> И Как обновить iptables на центе.
> Делал так:
> wget http://www.netfilter.org/projects/iptables/files/iptables-1....
> tar -xjvf iptables-1.4.10.tar.bz2
> cd iptables-1.4.10
> ./configure
> make
> make install
> Но по прежнему, 1.3.5
во первый -- перечитать man iptables -- если не помогает перечитать how-to
2. использование дополнительных правил аля "--connbytes" изначально предполагает указание модуля обрабатывающего это правило в итоге должно быть -> "iptables -A INPUT -p udp --dport 27015 -m connbytes --connbytes 1430:1500 -j REJECT"
в третих если задачи обрезать большие и маленькие пакеты -- то не понятно засем использовать сессионно-зависимый модуль conntbytes вместо length