Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Iptables /пара вопросов.  (Прочитано 449 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Valan

  • Автор темы
  • Гость
Iptables /пара вопросов.
« : 22 Октябрь 2016, 12:23:29 »
Не знал куда постить, пусть модераторы перенесут, если ошибся разделом:
Значит вопрос № 1:
Допустим политика по умолчанию в цепочке исх. дроп
iptables -P OUTPUT DROPдостаточно ли такого правила для исход. tcp запросов?:
iptables -A OUTPUT ! -o eth+ -p tcp -j REJECT или надо делать в добавок:
iptables -A OUTPUT -o eth+ -p tcp -j ACCEPT
Вопрос №2:
Никак не могу догнать, к чему вот "! -d" много где встречаю в цепочке построутинг для ната:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE
понятно, что воскл. знак означает, что все адреса кроме этой сети 192.168.1.0/24 попадут под это правило . Только не могу никак понять к чему оно здесь.


Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #1 : 22 Октябрь 2016, 15:26:11 »
Допустим политика по умолчанию в цепочке исх. дроп
iptables -P OUTPUT DROP
Допустим, вы осознали свою ошибку и побежали исправляться.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Valan

  • Автор темы
  • Гость
Re: Iptables /пара вопросов.
« Ответ #2 : 22 Октябрь 2016, 17:20:28 »
Допустим, вы осознали свою ошибку и побежали исправляться.
Какую ошибку, наверно ты хотел сказать, что не надо исходящий трафик фильтровать. По делу есть, что сказать?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #3 : 22 Октябрь 2016, 17:25:33 »
Только не могу никак понять к чему оно здесь.
Значит Вы не поняли как именно работает это правило
что не надо исходящий трафик фильтровать.
Именно. Это и есть "по делу". Фильтрация исходящего трафика весьма сложная задача, с которой не каждый гуру iptables справляется без ошибок, а уж новички непонимающие простейшие механизмы (тот же ! -d)...
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Valan

  • Автор темы
  • Гость
Re: Iptables /пара вопросов.
« Ответ #4 : 22 Октябрь 2016, 17:47:54 »
Именно. Это и есть "по делу". Фильтрация исходящего трафика весьма сложная задача, с которой не каждый гуру iptables справляется без ошибок, а уж новички непонимающие простейшие механизмы (тот же ! -d)...
По делу есть, что сказать? Тебя это тоже касается. Гуру айпитейбелса.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #5 : 22 Октябрь 2016, 18:06:19 »
То, что тебе не нравится ответ на твой вопрос, не делает его менее верным.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Valan

  • Автор темы
  • Гость
Re: Iptables /пара вопросов.
« Ответ #6 : 22 Октябрь 2016, 18:14:31 »
То, что тебе не нравится ответ на твой вопрос, не делает его менее верным.
Я не увидел ответа на вопрос. Были заданы два четко поставленных вопроса. Заметь я не спрашивал, надо делать это или не надо.
« Последнее редактирование: 22 Октябрь 2016, 18:20:09 от Valan »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #7 : 22 Октябрь 2016, 18:18:18 »
А почему мы должны на них отвечать? Отвечать человеку, хамящему направо и налево?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #8 : 22 Октябрь 2016, 18:21:57 »
Вопрос №2:
Никак не могу догнать, к чему вот "! -d" много где встречаю в цепочке построутинг для ната:

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE


понятно, что воскл. знак означает, что все адреса кроме этой сети 192.168.1.0/24 попадут под это правило . Только не могу никак понять к чему оно здесь.
Нахрена натить трафик, который не выходит во вне???

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #9 : 22 Октябрь 2016, 18:24:32 »
Предположим, что это тестовая сеть.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #10 : 22 Октябрь 2016, 18:32:05 »
Были заданы два четко поставленных вопроса.
Не увидел чёткости в вопросе:
достаточно ли такого правила для исход. tcp запросов?
Достаточно для чего?

На второй вопрос я Вам ответил. Разберите что делает правило, тогда будет понятно.

ЗЫ никогда не позиционировал себя гуру iptables. Да, понимаю что делает то или иное правило, но вот чтобы так же хамить в таблицах netfilter, как Вы нам - не могу.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Valan

  • Автор темы
  • Гость
Re: Iptables /пара вопросов.
« Ответ #11 : 22 Октябрь 2016, 18:34:09 »
Нахрена натить трафик, который не выходит во вне???
Да какая разница. Вот сейчас посмотрел у libvirt такой же принцип
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #12 : 22 Октябрь 2016, 18:36:39 »
Да какая разница.
Разница простая. NAT создаёт неопределённость при отладке сетевого взаимодействия.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Valan

  • Автор темы
  • Гость
Re: Iptables /пара вопросов.
« Ответ #13 : 22 Октябрь 2016, 18:52:59 »
Достаточно для чего?
Для того, чтобы пакет с tcp заголовком ушел с интерфейса. так понятней?
Тогда надо было сразу написать, что вопрос не ясен, хотя ты его прекрасно понял. Не люблю когда приходят и начинают флуд разводить. Причем я предполагал, что будет такой тупняк с вашим участием. Скрепя сквозь зубы тему создавал. В следующий раз пройди мимо.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Iptables /пара вопросов.
« Ответ #14 : 22 Октябрь 2016, 19:24:10 »
Пакет и так уйдёт, iptables к этому не имеет никакого отношения.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.057 секунд. Запросов: 24.