Portál AbcLinuxu, 27. dubna 2024 00:32


Dotaz: IP Tables

27.5.2010 10:12 Andrej.Man
IP Tables
Přečteno: 210×
Odpovědět | Admin

Ahoj, mel bych skromny dotaz.
Mam 2 site 192.168.1.x a 192.168.0.x a potrebuji aby uzivatel napr. 192.168.1.22 jako jedniy absolutne nevidel do site 0.x

Nevi nekdo neco rychleho do IP Tables? iptables -A FORWARD -s 192.160.1.22 -d 192.168.0.0/16 -j DROP nefungje

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

27.5.2010 10:29 Skokan, Pavel | skóre: 29
Rozbalit Rozbalit vše Re: IP Tables
Odpovědět | | Sbalit | Link | Blokovat | Admin
jednak 192.168.... jsou intranetove adresy pro Cckove rozsahy, takze maska /16 je spatne a navic ta maska popira to "mam dve site" - melo by to byt neco jako /24
27.5.2010 10:38 p.forty
Rozbalit Rozbalit vše Re: IP Tables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pár tipů:
  1.  v příkazu je chybka u source adresy
  2. jelikož danný přízaz přidá pravidlo až na konec je možné že předchozí pravidlo nedojde
  3. pokud uvádíš masku /16 tak máš jenom jednu síť ne dvě
27.5.2010 11:39 Andrej.Man
Rozbalit Rozbalit vše Re: IP Tables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pokud chci aby z nejake ip adresy se neslo dostat o site 192.168.0.0 tak jaky ma byt source? tohle asi bude take spatne
iptables -A INPUT –s xx.xx.xxx.xx -d 192.168.0.0/24 -j DROP
nebo nejaky zdroj kde bych se to rychle a rozumne docetl (ne man pages a ne google) ? Predem diky
Cubic avatar 27.5.2010 13:36 Cubic | skóre: 24 | blog: obcasne_vyplody | Essex
Rozbalit Rozbalit vše Re: IP Tables
ted mi prijde ze tam mas spatne ten INPUT, zmenit na FORWARD

stale nefunguje?

jinak me prijde tohle celkem inteligentne napsane

Do you like what you see? No? Well, bloody look harder.
27.5.2010 14:59 Andrej.Man
Rozbalit Rozbalit vše Re: IP Tables
Bohuzel to nefunguje, ted jsem se navic dozvedel ze potrebuji zablokovat nejen 192.168.0.xxx ale 192.168.xxx.xxx z jedne IP
27.5.2010 15:20 ubka7617
Rozbalit Rozbalit vše Re: IP Tables


Nemas povoleny FORWARD v default policy ? Treba v defaulte Forward zablokovat a potom povolovat co chces aby islo.

iptables -P FORWARD DROP
iptables -A FORWARD -s ! 192.160.1.22 -d 192.168.0.0/24 -j ACCEPT - povoli vsetky IP okrem tej jednej.

V ramci jedneho adresneho priestoru zrejme nezablokujes pristup pokial to nie je zvlast sietova karta pre tento stroj. Kedze v ramci jednej podsiete nepojdu data cez firewall.
Uplne zablokovanie by slo vytvorenim virtualnej adresy na FW a na to jednom stroji dat inu podsiet - rovnaku ako ta virtualna na FW a potom ponastavovat podla potrieb.

Řešení 1× (Andrej.Man (tazatel))
27.5.2010 15:33 Andrej.Man
Rozbalit Rozbalit vše Re: IP Tables
Odpovědět | | Sbalit | Link | Blokovat | Admin
tak je to vyreseno
iptables -A FORWARD -p ALL -s xxx.xxx.xxx.xxx -d 192.168.0.0/16 -j DROP

hlavni problem byl v tom ze jsem "blb" a nekouknul jsem se do pravidel nahoru kde jiz byl do jednoho segmentu udelanej ACCEPT :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.