форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите с Iptables...."
Сообщение от Criz on 09-Сен-02, 08:39  (MSK)
Я установил RH 7.3 с iptables, и всё заработало, только не получается фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01, то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту проблему...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Помогите с Iptables...."
Сообщение от killall on 09-Сен-02, 09:23  (MSK)
>Я установил RH 7.3 с iptables, и всё заработало, только не получается >фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01, >то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту >проблему... А модуль mac подгружен? man iptables на предмет опции -m
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Помогите с Iptables...."
	Сообщение от Criz on 09-Сен-02, 09:53  (MSK)
	>А модуль mac подгружен? >man iptables на предмет опции -m К сожалению я не нашёл в мане ничего про опцию -m, если можно, расскажи поподробнее про то как можно подгрузить модуль.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Помогите с Iptables...."
	Сообщение от killall on 09-Сен-02, 10:32  (MSK)
	>К сожалению я не нашёл в мане ничего про опцию -m, если >можно, расскажи поподробнее про то как можно подгрузить модуль. Наверно плохо искал, либо ман древний. Лично я дополнительными модулями не пользовался, необходимости не было. Но по всем правилам для подгрузки дополнительного модуля используют опцию -m: Твой пример должен выглядеть примерно так: iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Помогите с Iptables...."
	Сообщение от Criz on 09-Сен-02, 14:25  (MSK)
	Спасибо большое, заработало... Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Помогите с Iptables...."
	Сообщение от Criz on 09-Сен-02, 15:12  (MSK)
	>Спасибо большое, заработало... >Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :) И вот вопрос:) Для преобразования адресов я выбрал SNAT, записал правило: iptables -t nat -A POSTROUTING -s 192.168.12.0/24 -j SNAT --to-source (реальный ИП),но выпадает ошибка: Line 2 seems to have a -t table option. Я так понимаю что опять не загружен какой-то модуль, или я не прав? И ещё по поводу модулей: можно их загрузить раз и навсегда, а не подгружать в каждом правиле.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Помогите с Iptables...."
	Сообщение от LS on 09-Сен-02, 16:23  (MSK)
	>>Спасибо большое, заработало... >>Ща буду разбираться с маскарадингом...., вопросы я думаю тоже появятся :) > > >И вот вопрос:) >Для преобразования адресов я выбрал SNAT, записал правило: iptables -t nat -A >POSTROUTING -s 192.168.12.0/24 -j SNAT --to-source (реальный ИП),но выпадает ошибка: Line >2 seems to have a -t table option. >Я так понимаю что опять не загружен какой-то модуль, или я не >прав? >И ещё по поводу модулей: можно их загрузить раз и навсегда, а >не подгружать в каждом правиле. Все очень хорошо в мане описано: ... TABLES        There are current three independent tables  (which  tables        are  present  at any time depends on the kernel configura-        tion options and which modules are present).        -t, --table               This option specifies  the  packet  matching  table               which the command should operate on.  If the kernel               is configured with  automatic  module  loading,  an               attempt will be made to load the appropriate module               for that table if it is not already there.               The tables are as follows:        filter This is the default table.  It contains the  built-               in  chains  INPUT  (for packets coming into the box               itself), FORWARD (for packets being routed  through               the  box),  and OUTPUT (for locally-generated pack-               ets).        nat    This table is consulted when a packet that  creates               a  new  connection  is encountered.  It consists of               three built-ins: PREROUTING (for  altering  packets               as  soon  as  they  come  in), OUTPUT (for altering               locally-generated  packets  before  routing),   and               POSTROUTING (for altering packets as they are about               to go out).        mangle This table is used for  specialized  packet  alter-               ation.  It has two built-in chains: PREROUTING (for               altering incoming packets before routing) and  OUT-               PUT  (for altering locally-generated packets before               routing). ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Помогите с Iptables...."
	Сообщение от Criz on 09-Сен-02, 16:43  (MSK)
	Это я уже читал, как я понял всё дела как раз в модуле, подскажите пжалуйста какой....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Помогите с Iptables...."
	Сообщение от LS on 09-Сен-02, 17:31  (MSK)
	>Это я уже читал, как я понял всё дела как раз в >модуле, подскажите пжалуйста какой.... Я сам ipchains использую, поэтому точный ответ дать тебе немогу. Но маны по  iptables (я их только сегодня в первый раз посмотрел) написаны довольно хорошо - попробуй почитать повнимательней. На сколько я понял, если в правиле указать протокол (-p, --protocol), то необходимые модули будут загружены автоматически (без их явного указания с помощью -m). Можешь посмотреть в /lib/iptables - там лежат все эти модули. Дополнительный хелп по модулю можно получить дав команду iptables -m имя_модуля_без_libipt -h. Удачи!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Помогите с Iptables...."
Сообщение от ovix on 09-Сен-02, 19:37  (MSK)
>Я установил RH 7.3 с iptables, и всё заработало, только не получается >фильтровать по МАС. Если я пишу Iptables -A INPUT --mac-source 00:00:00:00:00:01, >то выпадает ошибка: Unknow arg "--mac-source". Подскажите, как мне решить эту >проблему... Для этого в ядре установи опцию: CONFIG_IP_NF_MATCH_MAC для подгрузки (можещь ее сразу как опицей ядра cделать, чтоб потом как модуль отдельно не подгружать), а потом делай то, как тебе здесь и советовали, например iptables -A INPUT -p tcp -s 192.168.1.0/24 -m mac --mac-source 00:00:00:00:00:01 -j ACCEPT т.е. с таким MAC-адресом из сети 192.168.1.0/24 можно войти на машину c iptables. >И вот вопрос:) >Для преобразования адресов я выбрал SNAT, записал правило: ,,,,,,, >Я так понимаю что опять не загружен какой-то модуль, или я не прав? Неправ. Зачем тебе SNAT, если ты просто маскируешь адреса? iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.0/24 -d any/0 -j MASQUERADE вот так ты и замаскарадишь свою подсеть 192.168.1.0/24 >И ещё по поводу модулей: можно их загрузить раз и навсегда, а не подгружать в каждом правиле. Да, можно: в настройках ядра для этих модулей говоришь YES (а не module), и они становятся частью ядра.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Помогите с Iptables...."
	Сообщение от Criz on 10-Сен-02, 08:30  (MSK)
	Тогда сразу ещё вопросец: почему всё-таки не SNAT, его рекомендуют при статичных адресах, а он менее загружает систему. И ещё.. Когда я в командной строке набираю это правило, то всё работает, а если я вставляю его в файл /etc/sysconfig/iptables, для того чтобы оно автоматически подгружалось при перезагрузке, при выполении выпадает ошибка: Line 2 seems to have a -t table option. Где грабли?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: Помогите с Iptables...."
	Сообщение от Criz on 10-Сен-02, 09:53  (MSK)
	>Тогда сразу ещё вопросец: почему всё-таки не SNAT, его рекомендуют при статичных >адресах, а он менее загружает систему. >И ещё.. Когда я в командной строке набираю это правило, то всё >работает, а если я вставляю его в файл /etc/sysconfig/iptables, для того >чтобы оно автоматически подгружалось при перезагрузке, при выполении выпадает ошибка: Line >2 seems to have a -t table option. Где грабли? Всё, этот вопрос я решил, но вот ещё грабли появились. Вот мои правила, которые загружаются автоматически: #!/bin/sh *nat :PREROUTING ACCEPT [1061:56047] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 192.168.12.0/255.255.255.0 -j SNAT --to-source (реальный ИП) COMMIT *filter :INPUT DROP [110:13749] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [20:1592] -A INPUT -p TCP -m state --state RELATED -j ACCEPT -A INPUT -s 192.168.12.52 -j ACCEPT -A INPUT -m mac --mac 00:00:21:2A:A0:5F -j ACCEPT COMMIT А вот и вопросик: если есть предложения по улучшению, с удовольствием выслушаю... И ещё: у меня появились проблемы с подключением к FTP, подскажите решение...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.