Portál AbcLinuxu, 9. května 2025 00:36

Dotaz: iptables, 2 ip na eth0, povol conect iba na 1. ip pre port 110

19.8.2015 19:37 dusan456 | skóre: 12 | Poprad
iptables, 2 ip na eth0, povol conect iba na 1. ip pre port 110
Přečteno: 202×
Odpovědět | Admin
Zdravím,

na servry mám 2 IP adresy na eth0, kvoly dvom webservrom.

Chcel by som pomocou iptables zakázať pripojenie na 2. ip pre port 110, a nechať ho voľný iba pre 1. ip na port 110.

2. ip mám pripojenú pomocou interfaces takto 
up ip addr add xxx.xxx.xxx.2 dev eth0
down ip addr del xxx.xxx.xxx.2 dev eth0
Ďakujem

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Řešení 1× (dusan456 (tazatel))
Jendа avatar 19.8.2015 19:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: iptables, 2 ip na eth0, povol conect iba na 1. ip pre port 110
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nezkoušeno: iptables -I INPUT -d xxx.1 --dport 110 -j REJECT
Jendа avatar 19.8.2015 19:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: iptables, 2 ip na eth0, povol conect iba na 1. ip pre port 110
Přijde mi ale lepší abys svému POP3 serveru řekl, aby poslouchal pouze na těch adresách, které chceš.
19.8.2015 19:49 dusan456 | skóre: 12 | Poprad
Rozbalit Rozbalit vše Re: iptables, 2 ip na eth0, povol conect iba na 1. ip pre port 110
Funguje!! Vďaka..
Řešení 1× (dusan456 (tazatel))
19.8.2015 22:05 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables, 2 ip na eth0, povol conect iba na 1. ip pre port 110
Podmínku --dport by nemělo být možné použít, pokud se zároveň nepoužije -p s některým protokolem, pro který je implementována (tcp, udp, sctp): 
alaris:~ # iptables -I INPUT -d 10.10.10.1 --dport 110 -j REJECT
iptables v1.4.21: unknown option "--dport"
Try `iptables -h' or 'iptables --help' for more information.
alaris:~ # iptables -I INPUT -d 10.10.10.1 -m tcp --dport 110 -j REJECT
iptables: Invalid argument. Run `dmesg' for more information.
alaris:~ # dmesg | tail -3
[ 2902.347955] fuse init (API version 7.23)
[39692.482215] ip_tables: (C) 2000-2006 Netfilter Core Team
[39692.500332] x_tables: ip_tables: tcp match: only valid for protocol 6
alaris:~ # iptables -I INPUT -d 10.10.10.1 -p tcp --dport 110 -j REJECT
alaris:~ # iptables -I INPUT -d 10.10.10.1 -p udp --dport 110 -j REJECT
alaris:~ # iptables -I INPUT -d 10.10.10.1 -p sctp --dport 110 -j REJECT
alaris:~ # iptables-save
# Generated by iptables-save v1.4.21 on Wed Aug 19 21:58:15 2015
*filter
:INPUT ACCEPT [49:3101]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [19:1736]
-A INPUT -d 10.10.10.1/32 -p sctp -m sctp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -d 10.10.10.1/32 -p udp -m udp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -d 10.10.10.1/32 -p tcp -m tcp --dport 110 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Aug 19 21:58:15 2015

Ale ten problém je samozřejmě přítomný už v samotném dotazu - bavit se o portu 110 bez uvedení konkrétního transportního protokolu, který nějaké porty definuje, nemá smysl.

19.8.2015 22:54 dusan456 | skóre: 12 | Poprad
Rozbalit Rozbalit vše Re: iptables, 2 ip na eth0, povol conect iba na 1. ip pre port 110
áno, -p parameter tam samozrejme musí byť, bez neho to nefunguje, ďakujem za "--reject-with icmp-port-unreachable" informáciu

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.