Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Настройка сетевого интерфейса  (Прочитано 756 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн zervu

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Стоит сервер на ubuntu, есть 3 интерфейса eth0, eth0:1, eth1. На сервере запущена утилита tvheadend, которая занимает порт 9981. Нужно сделать так, чтобы к этому порту был доступ только с eth0:1. Я думаю это решается с помощью iptables, но как настроить не знаю.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28474
    • Просмотр профиля
Re: Настройка сетевого интерфейса
« Ответ #1 : 06 Июля 2013, 00:11:01 »
1. Два интерфейса. eth0 и eth1.
2. Настроить демон на привязку к единственному IP в системе - религия не позволяет?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Настройка сетевого интерфейса
« Ответ #2 : 06 Июля 2013, 10:54:57 »
zervu,
sudo iptables-save ; sysctl net.ipv4.ip_forward?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28474
    • Просмотр профиля
Re: Настройка сетевого интерфейса
« Ответ #3 : 06 Июля 2013, 19:07:32 »
ArcFi, там демон с вебинтерфейсом для мышевозюканья.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Настройка сетевого интерфейса
« Ответ #4 : 06 Июля 2013, 19:28:35 »
AnrDaemon, это я к тому, что если разрешён форвардинг, то просто привязать демона к интерфейсу будет недостаточно.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Настройка сетевого интерфейса
« Ответ #5 : 06 Июля 2013, 19:52:31 »
Алиасы не работают в таблесах в качестве условия, так что можно привязаться к его адресу
sudo iptables -A -INPUT ! -d ip_address_eth0:1 -p tcp --dport 9981 -j DROP

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Настройка сетевого интерфейса
« Ответ #6 : 06 Июля 2013, 21:14:57 »
С чего это? По условиям будут дропаться только входящие на 9981 порт, направленные на данный хост НЕ на нужный IP.
А весь остальной инпут будет спокойно продолжать работать.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Настройка сетевого интерфейса
« Ответ #7 : 07 Июля 2013, 01:52:13 »
fisher74, ага, верно, однако...
1) очепятка перед INPUT
2) помимо фильтра по DST, необходимо добавить проверку SRC[+IN]

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28474
    • Просмотр профиля
Re: Настройка сетевого интерфейса
« Ответ #8 : 07 Июля 2013, 15:21:29 »
Вообще-то достаточно в FORWARD по DST проверять и резать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Настройка сетевого интерфейса
« Ответ #9 : 07 Июля 2013, 21:42:12 »
1) очепятка перед INPUT
Бывает, прошу прощения
sudo iptables -A INPUT ! -d ip_address_eth0:1 -p tcp --dport 9981 -j DROP
2) помимо фильтра по DST, необходимо добавить проверку SRC[+IN]
В условиях задачи этого не было. Ограничение по интерфейсу к которому обращаются.
И, кстати, вполне может быть, что требуется доступ со всех сетей, но чтобы обращались только к одному адресу. Так что отказ от форварда или фильтрация в нём не отвечают ТЗ. :)

 

Страница сгенерирована за 0.096 секунд. Запросов: 25.