форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables закрыть ip адрес"

Сообщение от HappyS (ok) on 25-Сен-07, 12:50

У меня схема такая *filter :INPUT ACCEPT [6119:344155] :FORWARD ACCEPT [1685:1247089] :OUTPUT ACCEPT [13109:4296753] :localhost - [0:0] -A FORWARD -j localhost COMMIT *nat :PREROUTING ACCEPT [3502:172884] :POSTROUTING ACCEPT [106:6858] :OUTPUT ACCEPT [85:5718] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195 COMMIT мне нужно отрезать доступ некоторым ip адресам вопрос - в каком месте это надо сделать - в разделе nat или в разделе filter и как правильно написать команду? команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables закрыть ip адрес"

Сообщение от Oyyo on 25-Сен-07, 13:53

>У меня схема такая >*filter >:INPUT ACCEPT [6119:344155] >:FORWARD ACCEPT [1685:1247089] >:OUTPUT ACCEPT [13109:4296753] >:localhost - [0:0] >-A FORWARD -j localhost для чего эти две строчки с localhost ? >COMMIT >*nat >:PREROUTING ACCEPT [3502:172884] >:POSTROUTING ACCEPT [106:6858] >:OUTPUT ACCEPT [85:5718] >-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195 этьо правило напиши проще -A POSTROUTING -o ethX -j SNAT --to -source 195.195.195.195 где ethX интерфейс смотрящий в интернет >COMMIT >мне нужно отрезать доступ некоторым ip адресам >вопрос - в каком месте это надо сделать - в разделе nat >или в разделе filter и как правильно написать команду? >команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter > для фильтрации предназначена таблица filter в ней и делаются ограничения цепочка INPUT предназначена для входящих пакетов т.е. для тех что идут непосредственно на роутер (http, ftp и т.д.) для запрета хождения в инет -I FORWARD -s 192.168.0.8 -j DROP http://www.opennet.ru/docs/RUS/iptables/index.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "iptables закрыть ip адрес"
	Сообщение от HappyS (ok) on 25-Сен-07, 14:28
	>-I FORWARD -s 192.168.0.8 -j DROP помогло а как быстро можно перезапукать iptables без перезагрузки linux и как вставить список ip адресов вместо одного ip
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "iptables закрыть ip адрес"
	Сообщение от Oyyo on 25-Сен-07, 14:45
	> >>-I FORWARD -s 192.168.0.8 -j DROP > >помогло > >а как быстро можно перезапукать iptables без перезагрузки linux service iptables restart или /etc/rc.d/init.d/iptables restart >и как вставить список ip адресов вместо одного ip только с помощью маски, например 192.168.0.8/30
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "iptables закрыть ip адрес"
	Сообщение от HappyS (ok) on 25-Сен-07, 14:58
	??? -I FORWARD --src-range 192.168.0.8-192.168.0.28 -j DROP а как же осуществить black list - наверно есть обход PS у меня привязаны ip и менять их нельзя чтобы собрать в маску
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "iptables закрыть ip адрес"
	Сообщение от HappyS (ok) on 27-Сен-07, 11:33
	я создал алиасы на интерфейсе eth1 eth1:1 -> 192,168,1,1 eth1:2 -> 192,168,2,1 как мне сделать запрет на каждом алиасе, чтобы одна подсеть не видела другую или алиасы должны быть строго в одной подсети? -A FORWARD -i eth1:1 -s ! 192.168.1.0/255.255.255.0 -j DROP -A FORWARD -i eth1:2 -s ! 192.168.2.0/255.255.255.0 -j DROP будет ли конфликт?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]