Новые ответы

IPTABLES Закрыть диапазон ip адресов,

HappyS, 02-Окт-07, 10:14 [смотреть все]

В каком месте в моем случае надо закрыть доступ ip адресам 192.168.0.10-20 отовсюду
и 212.74.222.146 только изнутри?
У меня схема такая
*filter
:INPUT ACCEPT [6119:344155]
:FORWARD ACCEPT [1685:1247089]
:OUTPUT ACCEPT [13109:4296753]
:server_name - [0:0]
-A FORWARD -j server_name
COMMIT
*nat
:PREROUTING ACCEPT [3502:172884]
:POSTROUTING ACCEPT [106:6858]
:OUTPUT ACCEPT [85:5718]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
SNAT --to -source 195.195.195.195
-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j
SNAT --to -source 195.195.195.195
где 195,195,195,195 - WAN_if сервера server_name

Ответить | Сообщить модератору

IPTABLES Закрыть диапазон ip адресов, sergey.shkolin, 10:37 , 02-Окт-07 (1)
>[оверквотинг удален]
>*nat
>:PREROUTING ACCEPT [3502:172884]
>:POSTROUTING ACCEPT [106:6858]
>:OUTPUT ACCEPT [85:5718]
>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
>SNAT --to -source 195.195.195.195
>-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j
>SNAT --to -source 195.195.195.195
>
>где 195,195,195,195 - WAN_if сервера server_name
закрыть для чего?
и что из этого олжно получиться ?
Ответить | Сообщить модератору

IPTABLES Закрыть диапазон ip адресов, HappyS, 13:14 , 02-Окт-07 (2)

>закрыть для чего?
>и что из этого олжно получиться ?
должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель выборочные адреса. В маску собрать нельзя (говорю сразу).
Ответить | Сообщить модератору

IPTABLES Закрыть диапазон ip адресов, sergey.shkolin, 14:58 , 02-Окт-07 (3)
>
>>закрыть для чего?
>>и что из этого олжно получиться ?
>
>должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель
>выборочные адреса. В маску собрать нельзя (говорю сразу).
ну а правила для этих адресов прописать?
или хочется загнать выборочные адреса в одно правило?
Ответить | Сообщить модератору

IPTABLES Закрыть диапазон ip адресов, HappyS, 16:02 , 03-Окт-07 (4)
вот такие правила я пишу
-A FORWARD -s 192.168.1.28 -j DROP
и они срабатывают
а мне надо правило на диапазон, например
-A FORWARD -s 192.168.1.200-245 -j DROP
Вот и интересен синтаксис такой команды
Ответить | Сообщить модератору

IPTABLES Закрыть диапазон ip адресов, nitalaut, 19:46 , 03-Окт-07 (5)
>вот такие правила я пишу
>-A FORWARD -s 192.168.1.28 -j DROP
>и они срабатывают
>а мне надо правило на диапазон, например
>-A FORWARD -s 192.168.1.200-245 -j DROP
>Вот и интересен синтаксис такой команды
iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо
--dst-range тоже работает
Ответить | Сообщить модератору

IPTABLES Закрыть диапазон ip адресов, HappyS, 13:14 , 04-Окт-07 (6)
>iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо
>--dst-range тоже работает
Ура, заработало!!! Это правило сработало!
Передо мной еще одна задача, с которой наверно все сталкивались. По той же теме. Звучит так -
запретить на каждом алиасе и самом интерфейсе входящие запросы с остальных других. По-другому: запретить всем из массива известных ip адресов и подсетей все входящие пакеты на каждый из этого массива.
Например - мой массив: 192.168.1.10-90/24;212.74.240.0/32
$MASSIV="192.168.1.10-90/24;212.74.240.0/32"
Все находятся в одной arp таблице.
Нужно для каждого примерно такое правило
-A FORWARD -s $MASSIV(кроме себя) -d 192.168.1.10 -j DROP
Вот и вопрос - можно ли одним правилом выполнить эту задачу, чтобы не писать правило ждя каждого отдельно и каков синтаксис?
Ответить | Сообщить модератору

IPTABLES Закрыть диапазон ip адресов, PRODVi, 13:50 , 20-Апр-12 (7)
Использовать предыдущее iprange --src-range
Ответить | Сообщить модератору