правила iptables [в очередной раз]

[kolesov]

Подскажите пожалуйста, как одним разрешить доступ к ip, а другим запретить.
Пробую так:

Код: [Выделить]

iptables -A INPUT -s 77.222.42.167 -d 172.16.48.103/32  -j ACCEPTпотом:

Код: [Выделить]

iptables -A INPUT -s 77.222.42.167 -d 172.16.48.0/24  -j DROPв следствии этой комбинации и 103  ip, и вся сеть не имеет доступа к 77.222.42.167.

iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sat Jan 25 12:13:07 2014
*mangle
:PREROUTING ACCEPT [181235:106724878]
:INPUT ACCEPT [5497:1452010]
:FORWARD ACCEPT [177247:105446259]
:OUTPUT ACCEPT [4257:1463847]
:POSTROUTING ACCEPT [181499:106909718]
COMMIT
# Completed on Sat Jan 25 12:13:07 2014
# Generated by iptables-save v1.4.12 on Sat Jan 25 12:13:07 2014
*filter
:INPUT ACCEPT [4165:1097836]
:FORWARD ACCEPT [164544:95922223]
:OUTPUT ACCEPT [3283:1126858]
-A INPUT -s 77.222.42.167/32 -d 172.16.48.103/32 -j ACCEPT
-A INPUT -s 77.222.42.167/32 -d 172.16.48.0/24 -j DROP
COMMIT
# Completed on Sat Jan 25 12:13:07 2014
# Generated by iptables-save v1.4.12 on Sat Jan 25 12:13:07 2014
*nat
:PREROUTING ACCEPT [3343:405700]
:INPUT ACCEPT [142:6876]
:OUTPUT ACCEPT [211:12660]
:POSTROUTING ACCEPT [3527:409407]
-A PREROUTING -s 172.16.48.0/24 ! -d 172.16.39.0/26 -i br1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Sat Jan 25 12:13:07 2014


[golota]

Вы пытаетесь разрешить доступ с реального адреса (-s 77.222.42.167) в зону фейк адресов -d 172.16.

Может вам надо наоборот ? вы source c destination не попутали ?

[kolesov]

возможно...
но с таким правилами все имеют доступ к ip.

Код: [Выделить]

iptables -A INPUT -d 77.222.42.167 -s 172.16.48.103/32  -j ACCEPT
iptables -A INPUT -d 77.222.42.167 -s 172.16.48.0/24  -j DROP


[koshev]

Политику цепочки в DROP

[golota]

Судя по всему, есть попытка запретить доступ на сайт по http ...
В этом случае, логичнее это делать на SQUID (судя по редиректу на 3128)

если очень хочется iptables, то типа -
iptables -I FORWARD -p tcp -s 172.16.48.103 -d 77.222.42.167 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.16.48.0/24 -d 77.222.42.167 -j DROP

[kolesov]

в вашем варианте тоже не работает. правило DROP не работает.
squid есть и работает.
надо блокировать https, но неохота морочиться с подменой сертификатов, пересобирать squid и т.п.
тем более что адресов не более десятка.

P.S. Возможно не хватает правил выше, чтобы форвардинг работал...
P.P.S. Возможно форвардинг не работает из-за того, должным образом не настроен ebtables...

[fisher74]

в вашем варианте тоже не работает. правило DROP не работает.

Странно, что именно DROP не работает.
Я так понял, у Вас интерфейсы в бридже.
Тогда покажите выхлоп

Код: [Выделить]

sysctl net.bridge.bridge-nf-call-iptables
sysctl net.bridge.bridge-nf-call-ip6tables


[golota]

Действительно странно, что всё пролезает.
Теоретически, ebtables должно отработать ДО iptables и может что-то отрубить, но не пропустить.

Хотя ... если бридж вайфая с езернетом, то там чудеса-чудесатые случаются 

[AnrDaemon]

Долго в шпионов играть будем?
Показывайте полностью правила.
sudo iptables-save

[fisher74]

Теоретически, ebtables должно отработать ДО iptables и может что-то отрубить, но не пропустить.

Мне с бриджами не доводилось повозиться, но в своё время читал про него по диагонали. Так вот помнится, что озвученные параметры ядра влияют на обработку бриджевых пакетов средствами iptables

Показывайте полностью правила.

Ночью надо спать. В первом сообщении топика под спойлером

[AnrDaemon]

>.> намёк понял.
Пользователь решил продолжить мысль 26 Января 2014, 12:35:52:А ничего, что вы пытаетесь рулить FORWARD'ом в INPUT?

[fisher74]

В 4 и 5 ответе уже тоже FORWARD "протестировали"

[golota]

Ясно, что нужны полные конфиги ebtables/iptables.
И описание интерфейсов и цели всего этого безобразия.

Потом курить доку. Вот здесь - http://chernomor.name/br_fw_ia.html
детально разжевано взаимодейтвие.

Я подозреваю, что ebtables можно выкинуть, и решать проблемы с помощью одного инструмента.
(Подозреваю, что возможностей --physdev из iptables будет вполне достаточно)
Тогда глюков будет меньше.
Моё мнение, что задачи выполняемые ebtables нужно решать на свитчах, а не валить всё в кучу,
без досконального понимания задач и проблем.