Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: правила iptables [в очередной раз]  (Прочитано 499 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
правила iptables [в очередной раз]
« : 25 Январь 2014, 12:21:11 »
Подскажите пожалуйста, как одним разрешить доступ к ip, а другим запретить.
Пробую так:
iptables -A INPUT -s 77.222.42.167 -d 172.16.48.103/32  -j ACCEPTпотом:
iptables -A INPUT -s 77.222.42.167 -d 172.16.48.0/24  -j DROPв следствии этой комбинации и 103  ip, и вся сеть не имеет доступа к 77.222.42.167.

iptables-save
(Нажмите, чтобы показать/скрыть)

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #1 : 25 Январь 2014, 14:03:29 »
Вы пытаетесь разрешить доступ с реального адреса (-s 77.222.42.167) в зону фейк адресов -d 172.16.

Может вам надо наоборот ? вы source c destination не попутали ?
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #2 : 25 Январь 2014, 16:41:18 »
возможно...
но с таким правилами все имеют доступ к ip.
iptables -A INPUT -d 77.222.42.167 -s 172.16.48.103/32  -j ACCEPT
iptables -A INPUT -d 77.222.42.167 -s 172.16.48.0/24  -j DROP

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1705
  • חתול המדען
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #3 : 25 Январь 2014, 16:45:18 »
Политику цепочки в DROP
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #4 : 25 Январь 2014, 17:02:17 »
Судя по всему, есть попытка запретить доступ на сайт по http ...
В этом случае, логичнее это делать на SQUID (судя по редиректу на 3128)

если очень хочется iptables, то типа -
iptables -I FORWARD -p tcp -s 172.16.48.103 -d 77.222.42.167 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.16.48.0/24 -d 77.222.42.167 -j DROP
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #5 : 25 Январь 2014, 17:39:06 »
в вашем варианте тоже не работает. правило DROP не работает.
squid есть и работает.
надо блокировать https, но неохота морочиться с подменой сертификатов, пересобирать squid и т.п.
тем более что адресов не более десятка.

P.S. Возможно не хватает правил выше, чтобы форвардинг работал...
P.P.S. Возможно форвардинг не работает из-за того, должным образом не настроен ebtables...
« Последнее редактирование: 25 Январь 2014, 20:37:59 от kolesov »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13749
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #6 : 26 Январь 2014, 00:35:20 »
в вашем варианте тоже не работает. правило DROP не работает.
Странно, что именно DROP не работает.
Я так понял, у Вас интерфейсы в бридже.
Тогда покажите выхлоп
sysctl net.bridge.bridge-nf-call-iptables
sysctl net.bridge.bridge-nf-call-ip6tables
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #7 : 26 Январь 2014, 04:25:26 »
Действительно странно, что всё пролезает.
Теоретически, ebtables должно отработать ДО iptables и может что-то отрубить, но не пропустить.

Хотя ... если бридж вайфая с езернетом, то там чудеса-чудесатые случаются  :o
« Последнее редактирование: 26 Январь 2014, 04:35:45 от golota »
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27305
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #8 : 26 Январь 2014, 04:36:05 »
Долго в шпионов играть будем?
Показывайте полностью правила.
sudo iptables-save
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13749
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #9 : 26 Январь 2014, 10:20:15 »
Теоретически, ebtables должно отработать ДО iptables и может что-то отрубить, но не пропустить.
Мне с бриджами не доводилось повозиться, но в своё время читал про него по диагонали. Так вот помнится, что озвученные параметры ядра влияют на обработку бриджевых пакетов средствами iptables

Показывайте полностью правила.
Ночью надо спать. В первом сообщении топика под спойлером
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27305
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #10 : 26 Январь 2014, 10:47:06 »
>.> намёк понял.

Пользователь решил продолжить мысль 26 Январь 2014, 12:35:52:
А ничего, что вы пытаетесь рулить FORWARD'ом в INPUT?
« Последнее редактирование: 26 Январь 2014, 12:35:52 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13749
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #11 : 26 Январь 2014, 12:38:06 »
В 4 и 5 ответе уже тоже FORWARD "протестировали"
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн golota

  • Участник
  • *
  • Сообщений: 132
    • Просмотр профиля
Re: правила iptables [в очередной раз]
« Ответ #12 : 26 Январь 2014, 13:45:58 »
Ясно, что нужны полные конфиги ebtables/iptables.
И описание интерфейсов и цели всего этого безобразия.

Потом курить доку. Вот здесь - http://chernomor.name/br_fw_ia.html
детально разжевано взаимодейтвие.

Я подозреваю, что ebtables можно выкинуть, и решать проблемы с помощью одного инструмента.
(Подозреваю, что возможностей --physdev из iptables будет вполне достаточно)
Тогда глюков будет меньше.
Моё мнение, что задачи выполняемые ebtables нужно решать на свитчах, а не валить всё в кучу,
без досконального понимания задач и проблем.
« Последнее редактирование: 26 Январь 2014, 14:36:45 от golota »
Я знаю то, что ничего не знаю, но некоторые не знают и этого. Сократ

 

Страница сгенерирована за 0.157 секунд. Запросов: 24.