https://opennet.me/openforum/vsluhforumID1/94448.html Добрый день, дамы и господа. Вообщем, пытаюсь заблокировать один IP-злоумышленника, чтобы не заходил на сайт<br><br>Вввожу в консоль:<br>iptables -I INPUT -s 1.1.1.1 -j DROP<br><br>Но все равно с IP 1.1.1.1 можно зайти на сайт, ладно, дальше<br><br>iptables -A INPUT -s 1.1.1.1 -j DROP<br><br>Но опять не помогает.<br><br><br>Как быть, ребята.<br><br>Я не совсем в этом понимаю :)<br> https://opennet.me/openforum/vsluhforumID1/94448.html#22 Thu, 02 Jun 2016 09:31:30 GMT Доброго времени суток!<br><br>Прошу сильно не пинайте, только начинаю разбираться с iptables...<br><br>Но тоже проблема, на Mandriva стоит VBox, на Боксе поднят почтовый сервер на Win2008 сервер H-Mail ip 192.185.0.55<br><br>Постоянно пытаются ломать. ( IP разные, уже целый список)<br>--------------------------------------------------------------<br>394915:03:16.618245vnesh_IP180.166.46.151SMTPS: 535 Authentication failed. Too many invalid logon attempts.<br>--------------------------------------------------------------<br>iptables-save<br># Generated by iptables-save v1.4.7 on Thu Jun 2 14:49:52 2016<br>*raw<br>:PREROUTING ACCEPT [1758:231837]<br>:OUTPUT ACCEPT [1456:389798]<br>COMMIT<br># Completed on Thu Jun 2 14:49:52 2016<br># Generated by iptables-save v1.4.7 on Thu Jun 2 14:49:52 2016<br>*nat<br>:PREROUTING ACCEPT [151:17934]<br>:POSTROUTING ACCEPT [20:1347]<br>:OUTPUT ACCEPT [20:1347]<br>-A PREROUTING -d vnesh_IP -p tcp -m multiport --dports 25 -j DNAT --to-destination 192.185.0.55<br>-A PREROUTING -d vnesh_IP -p tcp -m multiport --dports https://opennet.me/openforum/vsluhforumID1/94448.html#21 Wed, 13 Mar 2013 22:26:30 GMT &gt; Если ещё плохо ориентируешься в iptables, начни со второго варианта.<br><br>хреновый вариант. так он никогда ошибок своих не увидет, пока кто-то со стороны свистеть не начнет про то, какой он гад и откуда у него руки растут.<br><br><br> https://opennet.me/openforum/vsluhforumID1/94448.html#20 Wed, 13 Mar 2013 22:23:09 GMT &gt;&gt; ...<br>&gt;&gt; :INPUT ACCEPT [0:0] <br>&gt;&gt; :FORWARD ACCEPT [0:0] <br>&gt;&gt; :OUTPUT ACCEPT [828194:117273385] <br>&gt; Эти три должны быть DROP. По циферкам [0:0] можешь видеть, что ни <br>&gt; один пакет в них не попал.<br><br>от смены политики обработки пакетов по умолчанию, количество попавших сюда пакетов никак не изменится )<br><br>&gt; iptables -P INPUT -j DROP <br>&gt; iptables -P OUTPUT -j DROP <br>&gt; iptables -P FORWARD -j DROP <br>&gt; иначе всё ниже написанное теряет смысл. :) <br>&gt;&gt; -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <br>&gt;&gt; -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT <br>&gt;&gt; -A INPUT -i lo -j ACCEPT <br>&gt;&gt;... https://opennet.me/openforum/vsluhforumID1/94448.html#19 Wed, 13 Mar 2013 18:47:45 GMT &gt;&gt;&gt;... то нужно использовать другие цепочки в тругих таблицах.<br>&gt;&gt; Прально, предлагаю банить cразу в PREROUTING, а ещо есть ebtables и arptables <br>&gt;&gt; Во, я придумал: <br>&gt;&gt; iptables -I PREROUTING -s 1.1.1.1 -j MIRROR <br>&gt; Идеологически правильней засунуть подобные правила в цепочку FORWARD таблицы FILTER.<br><br>я имел в виду правила блокировки транзитного трафика.<br> https://opennet.me/openforum/vsluhforumID1/94448.html#18 Wed, 13 Mar 2013 18:45:26 GMT &gt;&gt; Правила проверяются сверху вниз, за исключением default.<br>&gt; Да ну?!<br><br>он имел в виду порядок прохождения правил внутри цепоцек, а не по таблицам.<br><br>&gt; А я-то всё время думал, что вот так (для INPUT) <br>&gt; -t raw PREROUTING (раньше raw небыло) <br>&gt; -t mangle PREROUTING <br>&gt; -t nat PREROUTING <br>&gt; -t mangle INPUT <br>&gt; -t filter INPUT https://opennet.me/openforum/vsluhforumID1/94448.html#17 Wed, 13 Mar 2013 18:26:21 GMT &gt;&gt; Правила проверяются сверху вниз, за исключением default.<br>&gt; Да ну?!<br>&gt; А я-то всё время думал, что вот так (для INPUT) <br>&gt; -t raw PREROUTING (раньше raw небыло) <br>&gt; -t mangle PREROUTING <br>&gt; -t nat PREROUTING <br>&gt; -t mangle INPUT <br>&gt; -t filter INPUT <br><br>Но это проядок прохождения пакетов по таблицам на сам хост с iptables. Автор же (на сколько я понял) пытается блокировать прохождение пакетов от другого хоста. Очевидно, что надо обрабатывать транзитный трафик, а не трафик к машине, на которой iptables стоит.<br><br><br> https://opennet.me/openforum/vsluhforumID1/94448.html#16 Wed, 13 Mar 2013 00:07:11 GMT &gt;&gt;... то нужно использовать другие цепочки в тругих таблицах.<br>&gt; Прально, предлагаю банить cразу в PREROUTING, а ещо есть ebtables и arptables <br>&gt; Во, я придумал: <br>&gt; iptables -I PREROUTING -s 1.1.1.1 -j MIRROR <br><br>Идеологически правильней засунуть подобные правила в цепочку FORWARD таблицы FILTER. <br><br><br><br><br><br> https://opennet.me/openforum/vsluhforumID1/94448.html#15 Mon, 11 Mar 2013 23:22:11 GMT &gt;... то нужно использовать другие цепочки в тругих таблицах. <br><br>Прально, предлагаю банить cразу в PREROUTING, а ещо есть ebtables и arptables<br><br>Во, я придумал: <br><br>iptables -I PREROUTING -s 1.1.1.1 -j MIRROR <br><br><br> <br><br> https://opennet.me/openforum/vsluhforumID1/94448.html#14 Mon, 11 Mar 2013 22:14:31 GMT &gt; А я-то всё время думал, что вот так (для INPUT) <br><br>Ну, давай будем умничать. Ему до разницы между INPUT и OUTPUT ещё пыхтеть и пыхтеть, у него очень простой косяк в INPUT.<br>