forum.opennet.ru - "IPTABLES Закрыть диапазон ip адресов" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPTABLES Закрыть диапазон ip адресов"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPTABLES Закрыть диапазон ip адресов"	+/–
Сообщение от HappyS (ok) on 02-Окт-07, 10:14
В каком месте в моем случае надо закрыть доступ ip адресам 192.168.0.10-20 отовсюду и 212.74.222.146 только изнутри? У меня схема такая filter :INPUT ACCEPT [6119:344155] :FORWARD ACCEPT [1685:1247089] :OUTPUT ACCEPT [13109:4296753] :server_name - [0:0] -A FORWARD -j server_name COMMIT nat :PREROUTING ACCEPT [3502:172884] :POSTROUTING ACCEPT [106:6858] :OUTPUT ACCEPT [85:5718] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195 -A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j SNAT --to -source 195.195.195.195 где 195,195,195,195 - WAN_if сервера server_name
Ответить \| Правка \| Cообщить модератору

Оглавление

IPTABLES Закрыть диапазон ip адресов, sergey.shkolin, 10:37 , 02-Окт-07, (1)

IPTABLES Закрыть диапазон ip адресов, HappyS, 13:14 , 02-Окт-07, (2)

IPTABLES Закрыть диапазон ip адресов, sergey.shkolin, 14:58 , 02-Окт-07, (3)

IPTABLES Закрыть диапазон ip адресов, HappyS, 16:02 , 03-Окт-07, (4)

IPTABLES Закрыть диапазон ip адресов, nitalaut, 19:46 , 03-Окт-07, (5)

IPTABLES Закрыть диапазон ip адресов, HappyS, 13:14 , 04-Окт-07, (6)

IPTABLES Закрыть диапазон ip адресов, PRODVi, 13:50 , 20-Апр-12, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPTABLES Закрыть диапазон ip адресов" +/–

Сообщение от sergey.shkolin (ok) on 02-Окт-07, 10:37

>[оверквотинг удален]
>*nat
>:PREROUTING ACCEPT [3502:172884]
>:POSTROUTING ACCEPT [106:6858]
>:OUTPUT ACCEPT [85:5718]
>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
>SNAT --to -source 195.195.195.195
>-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j
>SNAT --to -source 195.195.195.195
>
>где 195,195,195,195 - WAN_if сервера server_name
закрыть для чего?
и что из этого олжно получиться ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPTABLES Закрыть диапазон ip адресов" +/–

Сообщение от HappyS (ok) on 02-Окт-07, 13:14

>закрыть для чего?
>и что из этого олжно получиться ?
должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель выборочные адреса. В маску собрать нельзя (говорю сразу).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPTABLES Закрыть диапазон ip адресов" +/–

Сообщение от sergey.shkolin (ok) on 02-Окт-07, 14:58

>
>>закрыть для чего?
>>и что из этого олжно получиться ?
>
>должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель
>выборочные адреса. В маску собрать нельзя (говорю сразу).
ну а правила для этих адресов прописать?
или хочется загнать выборочные адреса в одно правило?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPTABLES Закрыть диапазон ip адресов" +/–

Сообщение от HappyS (??) on 03-Окт-07, 16:02

вот такие правила я пишу
-A FORWARD -s 192.168.1.28 -j DROP
и они срабатывают
а мне надо правило на диапазон, например
-A FORWARD -s 192.168.1.200-245 -j DROP
Вот и интересен синтаксис такой команды

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPTABLES Закрыть диапазон ip адресов" +/–

Сообщение от nitalaut (ok) on 03-Окт-07, 19:46

>вот такие правила я пишу
>-A FORWARD -s 192.168.1.28 -j DROP
>и они срабатывают
>а мне надо правило на диапазон, например
>-A FORWARD -s 192.168.1.200-245 -j DROP
>Вот и интересен синтаксис такой команды
iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо
--dst-range тоже работает

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IPTABLES Закрыть диапазон ip адресов" +/–

Сообщение от HappyS (ok) on 04-Окт-07, 13:14

>iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо
>--dst-range тоже работает
Ура, заработало!!! Это правило сработало!
Передо мной еще одна задача, с которой наверно все сталкивались. По той же теме. Звучит так -
запретить на каждом алиасе и самом интерфейсе входящие запросы с остальных других. По-другому: запретить всем из массива известных ip адресов и подсетей все входящие пакеты на каждый из этого массива.
Например - мой массив: 192.168.1.10-90/24;212.74.240.0/32
$MASSIV="192.168.1.10-90/24;212.74.240.0/32"
Все находятся в одной arp таблице.
Нужно для каждого примерно такое правило
-A FORWARD -s $MASSIV(кроме себя) -d 192.168.1.10 -j DROP
Вот и вопрос - можно ли одним правилом выполнить эту задачу, чтобы не писать правило ждя каждого отдельно и каков синтаксис?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPTABLES Закрыть диапазон ip адресов" +/–

Сообщение от PRODVi on 20-Апр-12, 13:50

Использовать предыдущее iprange --src-range

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPTABLES Закрыть диапазон ip адресов"	+/–
Сообщение от sergey.shkolin (ok) on 02-Окт-07, 10:37
>[оверквотинг удален] >*nat >:PREROUTING ACCEPT [3502:172884] >:POSTROUTING ACCEPT [106:6858] >:OUTPUT ACCEPT [85:5718] >-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j >SNAT --to -source 195.195.195.195 >-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j >SNAT --to -source 195.195.195.195 > >где 195,195,195,195 - WAN_if сервера server_name закрыть для чего? и что из этого олжно получиться ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPTABLES Закрыть диапазон ip адресов"	+/–
	Сообщение от HappyS (ok) on 02-Окт-07, 13:14
	>закрыть для чего? >и что из этого олжно получиться ? должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель выборочные адреса. В маску собрать нельзя (говорю сразу).
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPTABLES Закрыть диапазон ip адресов"	+/–
	Сообщение от sergey.shkolin (ok) on 02-Окт-07, 14:58
	> >>закрыть для чего? >>и что из этого олжно получиться ? > >должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель >выборочные адреса. В маску собрать нельзя (говорю сразу). ну а правила для этих адресов прописать? или хочется загнать выборочные адреса в одно правило?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IPTABLES Закрыть диапазон ip адресов"	+/–
	Сообщение от HappyS (??) on 03-Окт-07, 16:02
	вот такие правила я пишу -A FORWARD -s 192.168.1.28 -j DROP и они срабатывают а мне надо правило на диапазон, например -A FORWARD -s 192.168.1.200-245 -j DROP Вот и интересен синтаксис такой команды
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPTABLES Закрыть диапазон ip адресов"	+/–
	Сообщение от nitalaut (ok) on 03-Окт-07, 19:46
	>вот такие правила я пишу >-A FORWARD -s 192.168.1.28 -j DROP >и они срабатывают >а мне надо правило на диапазон, например >-A FORWARD -s 192.168.1.200-245 -j DROP >Вот и интересен синтаксис такой команды iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо --dst-range тоже работает
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "IPTABLES Закрыть диапазон ip адресов"	+/–
	Сообщение от HappyS (ok) on 04-Окт-07, 13:14
	>iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо >--dst-range тоже работает Ура, заработало!!! Это правило сработало! Передо мной еще одна задача, с которой наверно все сталкивались. По той же теме. Звучит так - запретить на каждом алиасе и самом интерфейсе входящие запросы с остальных других. По-другому: запретить всем из массива известных ip адресов и подсетей все входящие пакеты на каждый из этого массива. Например - мой массив: 192.168.1.10-90/24;212.74.240.0/32 $MASSIV="192.168.1.10-90/24;212.74.240.0/32" Все находятся в одной arp таблице. Нужно для каждого примерно такое правило -A FORWARD -s $MASSIV(кроме себя) -d 192.168.1.10 -j DROP Вот и вопрос - можно ли одним правилом выполнить эту задачу, чтобы не писать правило ждя каждого отдельно и каков синтаксис?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "IPTABLES Закрыть диапазон ip адресов"	+/–
	Сообщение от PRODVi on 20-Апр-12, 13:50
	Использовать предыдущее iprange --src-range
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору