форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Доступ по IP"

Сообщение от lamka (ok) on 16-Ноя-06, 01:35

Как в linux можно ограничить доступ по IP к определенному порту? Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения принимались только с 1 ипа или подсети. Как это организовать? P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Доступ по IP"

Сообщение от edwin (ok) on 16-Ноя-06, 10:32

>Как в linux можно ограничить доступ по IP к определенному порту? > >Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения >принимались только с 1 ипа или подсети. > >Как это организовать? > > >P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :> http://ru.gentoo-wiki.com/Настройка_iptables_для_начинающих

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Доступ по IP"

Сообщение от timmy on 16-Ноя-06, 10:34

>Как в linux можно ограничить доступ по IP к определенному порту? > >Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения >принимались только с 1 ипа или подсети. > >Как это организовать? > > >P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :> iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080 iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080 в зависимомти от дистрибутива можно либо поправить конфиг у iptables и сделать /etc/init.d/iptables restart либо добавлять из какого-нибудь /etc/rc.d/rc.local эти строчки при старте.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Доступ по IP"
	Сообщение от Xmas (??) on 16-Ноя-06, 10:49
	>>Как в linux можно ограничить доступ по IP к определенному порту? >> >>Т.е. запущен демон, который открыл порт, к примеру 8080, нужно чтобы соединения >>принимались только с 1 ипа или подсети. >> >>Как это организовать? >> >> >>P.S.: В линухах полный ламер, просьба сильно не ругаться за тупой вопрос :> > > > >iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j >DROP # запретим от всех к тебе на порт 8080 >iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j >ACCEPT # разрешим от нужного IP к тебе на порт 8080 > > >в зависимомти от дистрибутива можно либо поправить конфиг у iptables и сделать >/etc/init.d/iptables restart >либо добавлять из какого-нибудь /etc/rc.d/rc.local эти строчки при старте. Так работать не будет, строчки надо поменять местами.......
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Доступ по IP"
	Сообщение от timmy on 16-Ноя-06, 10:59
	>Так работать не будет, строчки надо поменять местами....... пардон попутал с ipf - там last match :(((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Доступ по IP"
	Сообщение от lamka (ok) on 16-Ноя-06, 14:30
	>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080 >iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080 А "твой ип" - это ип сетевого интерфейса? А если сервер в 3 сетях, то что писать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Доступ по IP"
	Сообщение от Nimdar (ok) on 16-Ноя-06, 14:41
	>>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080 >>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080 > >А "твой ип" - это ип сетевого интерфейса? А если сервер в >3 сетях, то что писать? Если разрешено всем, а нужно запретить только одному на всех интерфейсах, то: iptables -A INPUT -p tcp -s 'нужный_ip' --dport 8080 -j REJECT
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Доступ по IP"
	Сообщение от lamka (ok) on 16-Ноя-06, 15:04
	>>>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080 >>>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080 >> >>А "твой ип" - это ип сетевого интерфейса? А если сервер в >>3 сетях, то что писать? > >Если разрешено всем, а нужно запретить только одному на всех интерфейсах, то: > >iptables -A INPUT -p tcp -s 'нужный_ip' --dport 8080 -j REJECT Наоборот говорю же. разрешено отовсюду, а надо, чтобы соединения принимались к примеру _только_ с 172.16.0.1/24 на 8080 порт
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Доступ по IP"
	Сообщение от timmy on 16-Ноя-06, 15:03
	>>iptables -A INPUT -p tcp -s 'нужный_ip' -d твой_IP --dport 8080 -j ACCEPT # разрешим от нужного IP к тебе на порт 8080 >>iptables -A INPUT -p tcp -s 0.0.0.0 -d твой_IP --dport 8080 -j DROP # запретим от всех к тебе на порт 8080 > >А "твой ип" - это ип сетевого интерфейса? А если сервер в >3 сетях, то что писать? добавляешь опцию -i eth[0-9] - и правило действует применительно к инетрфейсу eth[0-9] PS: за то время что прошли посты от первого до последнего, можно было бы уже выучить наизусть man iptables... RTFM
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Доступ по IP"
	Сообщение от lamka (ok) on 16-Ноя-06, 15:06
	.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Доступ по IP"
	Сообщение от edwin (ok) on 16-Ноя-06, 15:08
	>>PS: за то время что прошли посты от первого до последнего, можно >>было бы уже выучить наизусть man iptables... RTFM > >Ну от ссылочки, где всё на _русском_ я бы не отказался :> >Та ссылка которую тут писали не рабочая.. Линк целикоа рабочий и там все на русском Прямо копишуеш ВЕСЬ линк и вставляеш URL браузера
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Доступ по IP"
	Сообщение от edwin (ok) on 16-Ноя-06, 15:12
	>>>PS: за то время что прошли посты от первого до последнего, можно >>>было бы уже выучить наизусть man iptables... RTFM >> >>Ну от ссылочки, где всё на _русском_ я бы не отказался :> >>Та ссылка которую тут писали не рабочая.. > > >Линк целикоа рабочий и там все на русском > >Прямо копишуеш ВЕСЬ линк и вставляеш URL браузера Вот линк на кешированную страницу из Goggle http://72.14.221.104/search?q=cache:rE--Q4hXbpEJ:ru.gentoo-wiki.com/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_iptables_%D0%B4%D0%BB%D1%8F_%D0%BD%D0%B0%D1%87%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D1%85+%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0+iptables+%D0%B4%D0%BB%D1%8F+%D0%BD%D0%B0%D1%87%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D1%85&hl=ru&gl=ua&ct=clnk&cd=1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Доступ по IP"

Сообщение от lamka (ok) on 17-Ноя-06, 01:03

А кстате почему строчки надо местами переставить? Сначало открыть нужному, а потом закрыть всем? Какая-то несуразица :/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Доступ по IP"
	Сообщение от timmy on 17-Ноя-06, 08:52
	>А кстате почему строчки надо местами переставить? >Сначало открыть нужному, а потом закрыть всем? Какая-то несуразица :/ потому что iptables происходит срабатывание по первому попавшемуся правилу (в отличие от некоторых других FW)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Доступ по IP"
	Сообщение от lamka (ok) on 17-Ноя-06, 20:19
	>>А кстате почему строчки надо местами переставить? >>Сначало открыть нужному, а потом закрыть всем? Какая-то несуразица :/ > > >потому что iptables происходит срабатывание по первому попавшемуся правилу (в отличие от >некоторых других FW) А 2 порта можно в 1 команду пихнуть? если да, то как? Или 2-мя строками надо?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]