форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Как перенаправить определенный udp трафик, а остальной запретит"	+/–
Сообщение от hrustbb (ok) on 18-Июл-16, 00:50
Добрый день. Необходимо с помощью iptables сменить ip-адрес назначения исходящих udp, и перенаправить их на 127.0.0.1, а остальные исходящие  udp - запретить. Пытаюсь сделать так: iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -m owner --uid-owner 1000 --sport 3500 -j DNAT --to-destination 127.0.0.1:4500 То есть датаграмму пытающуюся уйти на 192.168.0.1 с локального порта 3500 нужно перехватить и направить на 127.0.0.1:4500, но не получается. Помогите пожалуйсто составить правило.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как перенаправить определенный udp трафик, а остальной запретит"	+1 +/–
Сообщение от PavelR (??) on 18-Июл-16, 06:10
> Пытаюсь сделать так: > iptables -P FORWARD DROP > iptables -P INPUT DROP > iptables -P OUTPUT DROP Вряд ли что получится при полностью закрытом файрволле.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от hrustbb (ok) on 18-Июл-16, 10:12
	>> Пытаюсь сделать так: >> iptables -P FORWARD DROP >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP > Вряд ли что получится при полностью закрытом файрволле. Я так понял, что это правила по умолчанию и теперь нужно разрешить траффик на определенные адреса и перенаправить. Или не так?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от hrustbb (ok) on 18-Июл-16, 12:36
	>> Пытаюсь сделать так: >> iptables -P FORWARD DROP >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP > Вряд ли что получится при полностью закрытом файрволле. Или ты имеешь ввиду добавить iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 3500 j ACCEPT а потом перенаправить?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от PavelR (??) on 18-Июл-16, 16:49
	>>> Пытаюсь сделать так: >>> iptables -P FORWARD DROP >>> iptables -P INPUT DROP >>> iptables -P OUTPUT DROP >> Вряд ли что получится при полностью закрытом файрволле. > Или ты имеешь ввиду добавить > iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 3500 j ACCEPT > а потом перенаправить? Попробовать этот вариант - это быстрее, чем задать вопрос в этой теме.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от hrustbb (ok) on 18-Июл-16, 17:39
	>>>> Пытаюсь сделать так: >>>> iptables -P FORWARD DROP >>>> iptables -P INPUT DROP >>>> iptables -P OUTPUT DROP >>> Вряд ли что получится при полностью закрытом файрволле. >> Или ты имеешь ввиду добавить >> iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 3500 j ACCEPT >> а потом перенаправить? > Попробовать этот вариант - это быстрее, чем задать вопрос в этой теме. iptables -A OUTPUT -d 192.168.0.1 -p udp j ACCEPT iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -j DNAT --to-destination 127.0.0.1:3600 Попробовал - не помагло. Датаграмы не долетают до 127.0.0.1:3600
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

3. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
Сообщение от Павел Самсонов on 18-Июл-16, 10:47
>[оверквотинг удален] > Пытаюсь сделать так: > iptables -P FORWARD DROP > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT > iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -m owner --uid-owner > 1000 --sport 3500 -j DNAT --to-destination 127.0.0.1:4500 > То есть датаграмму пытающуюся уйти на 192.168.0.1 с локального порта 3500 нужно > перехватить и направить на 127.0.0.1:4500, но не получается. Помогите пожалуйсто составить > правило. DNAT делают в цепочке -A PREROUTING. Обычная конструкция DNAT: -d 192.168.0.1 --dport 3500 -j DNAT --to-destination 127.0.0.1:4500, а у тебя --sport.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от hrustbb (ok) on 18-Июл-16, 12:02
	>[оверквотинг удален] >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP >> iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT >> iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -m owner --uid-owner >> 1000 --sport 3500 -j DNAT --to-destination 127.0.0.1:4500 >> То есть датаграмму пытающуюся уйти на 192.168.0.1 с локального порта 3500 нужно >> перехватить и направить на 127.0.0.1:4500, но не получается. Помогите пожалуйсто составить >> правило. > DNAT делают в цепочке -A PREROUTING. Обычная конструкция DNAT: -d 192.168.0.1 --dport > 3500 -j DNAT --to-destination 127.0.0.1:4500, а у тебя --sport. --dport это порт назначения вроде, тоесть на стороне принимающего сервера, а мне нужно указать правила для датаграм улетающих с локального порта 3500
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Как перенаправить определенный udp трафик, а остальной запретит"	–2 +/–
Сообщение от _ (??) on 18-Июл-16, 19:56
> iptables -P FORWARD DROP > iptables -P INPUT DROP > iptables -P OUTPUT DROP Всё что написанно ниже этих строк, по идее уже не важно :\
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от hrustbb (ok) on 19-Июл-16, 08:37
	>> iptables -P FORWARD DROP >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP > Всё что написанно ниже этих строк, по идее уже не важно :\ Это еще почему?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
Сообщение от reader (ok) on 19-Июл-16, 14:26
>[оверквотинг удален] > Пытаюсь сделать так: > iptables -P FORWARD DROP > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT > iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -m owner --uid-owner > 1000 --sport 3500 -j DNAT --to-destination 127.0.0.1:4500 > То есть датаграмму пытающуюся уйти на 192.168.0.1 с локального порта 3500 нужно > перехватить и направить на 127.0.0.1:4500, но не получается. Помогите пожалуйсто составить > правило. весь INPUT и OUTPUT через lo разрешите, -m owner --uid-owner 1000 пока уберите. Увеличивать условия будите когда в простом виде заработает
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от hrustbb (ok) on 21-Июл-16, 06:46
	>[оверквотинг удален] >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP >> iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT >> iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -m owner --uid-owner >> 1000 --sport 3500 -j DNAT --to-destination 127.0.0.1:4500 >> То есть датаграмму пытающуюся уйти на 192.168.0.1 с локального порта 3500 нужно >> перехватить и направить на 127.0.0.1:4500, но не получается. Помогите пожалуйсто составить >> правило. > весь INPUT и OUTPUT через lo разрешите, -m owner --uid-owner 1000 пока > уберите. Увеличивать условия будите когда в простом виде заработает iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT Ничего не меняет
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от reader (ok) on 21-Июл-16, 11:44
	>[оверквотинг удален] >>> iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -m owner --uid-owner >>> 1000 --sport 3500 -j DNAT --to-destination 127.0.0.1:4500 >>> То есть датаграмму пытающуюся уйти на 192.168.0.1 с локального порта 3500 нужно >>> перехватить и направить на 127.0.0.1:4500, но не получается. Помогите пожалуйсто составить >>> правило. >> весь INPUT и OUTPUT через lo разрешите, -m owner --uid-owner 1000 пока >> уберите. Увеличивать условия будите когда в простом виде заработает > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > Ничего не меняет а как проверяли что ничего не меняет или может меняет но нужно еще что-то? показывайте счетчики на правилах и что tcpdump видит, в общем показывайте результаты проверок, а не ждите что за вас все сделают
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от hrustbb (ok) on 21-Июл-16, 20:04
	>[оверквотинг удален] >>>> правило. >>> весь INPUT и OUTPUT через lo разрешите, -m owner --uid-owner 1000 пока >>> уберите. Увеличивать условия будите когда в простом виде заработает >> iptables -A INPUT -i lo -j ACCEPT >> iptables -A OUTPUT -o lo -j ACCEPT >> Ничего не меняет > а как проверяли что ничего не меняет или может меняет но нужно > еще что-то? > показывайте счетчики на правилах и что tcpdump видит, в общем показывайте результаты > проверок, а не ждите что за вас все сделают я готов заплатить
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от reader (ok) on 22-Июл-16, 11:10
	С udp не все просто ибо есть зависимость от того как работает программ, к которой вы перенаправляете, с несколькими интерфейсами. Хотя в пределах одной машины граблей наверно меньше, чем если бы перенаправление было на удаленную манину. Так что то что вы хотите это эсперемент и лично я не сказал бы что все получится, хотя вероятность что получится есть.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

11. "Как перенаправить определенный udp трафик, а остальной запретит"	–1 +/–
Сообщение от hrustbb (ok) on 20-Июл-16, 14:50
>[оверквотинг удален] > Пытаюсь сделать так: > iptables -P FORWARD DROP > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT > iptables -t nat -A OUTPUT -d 192.168.0.1 -p udp -m owner --uid-owner > 1000 --sport 3500 -j DNAT --to-destination 127.0.0.1:4500 > То есть датаграмму пытающуюся уйти на 192.168.0.1 с локального порта 3500 нужно > перехватить и направить на 127.0.0.1:4500, но не получается. Помогите пожалуйсто составить > правило. походу сверхсложная задача?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	16. "Как перенаправить определенный udp трафик, а остальной запретит"	+/–
	Сообщение от anon123121231 on 27-Июл-16, 16:51
	>>[оверквотинг удален] > походу сверхсложная задача? adduser user01 iptables -t nat -I OUTPUT -m owner --uid-owner $(id -u user01) -p UDP -j DNAT --to-destination 127.0.0.1:4500 su user01 -c "/path/yourprogram" теперь весь UDP от программы запущенной под user01 идет на 4500 порт, остальной куда угодно. у меня работает.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема