The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Скрытые возможности Iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Скрытые возможности Iptables"  +/
Сообщение от opennews on 26-Май-04, 10:02 
В статье "The Hidden Treasures of IPTables" рассказано о некоторых интересных возможностях iptables недоступных в стандартной поставке 2.4 Linux ядра и открывающихся только после установки POM (patch-o-matic) (http://netfilter.org/patch-o-matic/index.html) патчей.

Ниже примеры интересных возможностей iptables:

Фильтрация по строковой маске:


iptables -A FORWARD -i eth0 -p tcp --sport 80 \
   -m string --string '|7F|ELF' -j DROP

iptables -A FORWARD -i eth0 -p tcp \
   ! -s 192.168.0.5 --sport 80 -m string \
   --string '|7F|ELF' -j DROP

Сжатая компоновка номеров портов в одной строке:


iptables -A INPUT -p tcp -m mport \
   --dports 80,110,21,6000:6003 -j ACCEPT

Учет времени при блокировке:


iptables -A INPUT -p tcp -d 80 -m time \
   --timestart 04:00 --timestop 06:30 --days Fri \
   --syn -j REJECT


Коннект в пустоту (соединение не закрывается, но ничего не происходит)


iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

Срабатывание правила с заданной вероятностью (в процентах)


iptables -t nat -A PREROUTING -i eth0 -p tcp \
   --dport 80 --syn -m random --average 33 \
   -j DNAT --to-destination 192.168.0.100:80

iptables -t nat -A PREROUTING -i eth0 -p tcp \
   --dport 80 --syn -m random --average 50 \
   -j DNAT --to-destination 192.168.0.101:80

iptables -t nat -A PREROUTING -i eth0 -p tcp \
   --dport 80 --syn -j DNAT \
   --to-destination 192.168.0.102:80


URL: http://www.lowth.com/howto/iptables-treasures.php
Новость: http://www.opennet.ru/opennews/art.shtml?num=3898

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Скрытые возможности Iptables"  +/
Сообщение от Moralez email on 26-Май-04, 10:02 
Скрытые возможности netfilter... и не скрытые, а добавленные... да и не новость это уже полгода как... С остальным согласен :o)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Скрытые возможности Iptables"  +/
Сообщение от Аноним email on 26-Май-04, 10:19 
imho кромере номеров портов в одной строке бесполезняк...
Не согласные есть?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Скрытые возможности Iptables"  +/
Сообщение от жик on 27-Май-04, 09:09 
-j TARPIT тоже неплохо
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Скрытые возможности Iptables"  +/
Сообщение от One (??) on 26-Май-04, 10:47 
временные рамки тоже рулез
почти циска
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Скрытые возможности Iptables"  +/
Сообщение от noname (??) on 06-Июн-04, 15:07 
>временные рамки тоже рулез
>почти циска

Переменная, условие для iptables, устанавливаемая через /proc удобнее и более гибкая. Там хоть от времени, хоть от чёрты лысого устанавливай условия.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Скрытые возможности Iptables"  +/
Сообщение от Denis email(??) on 26-Май-04, 10:49 
ну по времени еще может быть... :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Скрытые возможности Iptables"  +/
Сообщение от screepah (??) on 26-Май-04, 11:24 
круть
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Скрытые возможности Iptables"  +/
Сообщение от Andrei email(??) on 26-Май-04, 11:39 
в PoM есть nat протокола GRE, что мне очень важно.

Andrei. http://linux.org.by

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Скрытые возможности Iptables"  +/
Сообщение от GRisha email on 26-Май-04, 12:04 
также PSD - port scan detect, connlimit, connbytes, h323-conntrack-nat, osf (OS fingerprinting), a также много других вкусностей.

рулит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Скрытые возможности Iptables"  +/
Сообщение от ama email on 26-Май-04, 13:12 
я не фанат freebsd, но это реализация функиональности древнего ipfw. давно пора было...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Скрытые возможности Iptables"  +/
Сообщение от Firewalker (??) on 26-Май-04, 19:30 
ети возможности не скритие и некоторие из них сущуствуют уже 2 года, а string match у freebsd еще нет :-( и iptables побистрее будет
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Скрытые возможности Iptables"  +/
Сообщение от choopie on 26-Май-04, 23:17 
для ipfw много чего нет. мне например очень нехватало такой вещи - http://sourceforge.net/projects/iptables-p2p/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Скрытые возможности Iptables"  +/
Сообщение от ol (??) on 27-Май-04, 10:55 
я чего-то пропустил? как сделать реализацию --timestart/--timestop на ipfw?
крона не предлагать. =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Скрытые возможности Iptables"  +/
Сообщение от Andrew email(??) on 28-Май-04, 13:00 
А чем на практике плох крон?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Скрытые возможности Iptables"  +/
Сообщение от uldus (ok) on 28-Май-04, 13:30 
>А чем на практике плох крон?

Да, уж лучше пусть ядро занимается проверкой вхождения в диапазон на каждое срабатывание правила.... Системные вызов time относительно ресурсоемкий. Кстати, как он время определяет, там же нужно localtime учитывать. libc вон /etc/localtime читает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Скрытые возможности Iptables"  +/
Сообщение от rost on 28-Май-04, 16:35 
я тоже считаю что cron в любом случае лучше для подобной задачи.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Скрытые возможности Iptables"  +/
Сообщение от Аноним email on 26-Май-04, 14:28 
Очень порадовало вероятное срабатывание правила %-) Этакая русская рулетка )))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Скрытые возможности Iptables"  +/
Сообщение от voodoo email(??) on 28-Май-04, 12:07 
Так это ж самая вкусная шняжка ;) Простой метод создания кластеров тех же веб-серверов ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Скрытые возможности Iptables"  +/
Сообщение от Аноним email on 05-Июн-04, 09:02 
кто нибудь может вкрадце рассказать про target ROUTE? Использовали?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Скрытые возможности Iptables (опубликован перевод на русский..."  +/
Сообщение от Аноним email on 05-Июн-04, 23:53 
Вероятность красивая штука. Если приложить голову, в некоторых случаях можно до "высшего руководства" в разрезе бюджетирования добраться.

Некрасиво. Но можно.

(как выпью - панковское детство просыпается, звиняйте люди добрые)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Скрытые возможности Iptables (опубликован перевод на русский..."  +/
Сообщение от Аноним email on 05-Июн-04, 23:56 
Просветите несведущего, а когда эти патчи будут входить в состав стандартного ядра? Родмэп есть какой-то для каждой части? Или для всех патчей вкупе?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Скрытые возможности Iptables (опубликован перевод на русский..."  +/
Сообщение от a55_5 (??) on 06-Июн-04, 00:44 
а проверить не судьба ? ) вообще тут половина старья которым я пользовался ещё в МДК 9.0 установке по умолчанию ничего не патча)

к стати научился таки айпитаблес трафик по человечески шейпирорвать ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Скрытые возможности Iptables (опубликован перевод на русский..."  +/
Сообщение от sauron email on 06-Июн-04, 11:09 
>к стати научился таки айпитаблес трафик по человечески шейпирорвать ?
А он тут причем??? Этим iproute2 заведует.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Скрытые возможности Iptables (опубликован перевод на русский..."  +/
Сообщение от rost on 15-Июн-04, 00:22 
ну Iptables можно использовать как вспомогательный инструмент для Iproute2
в сочетании с модулями connmark,string,p2p получается очень вкусная шняжка ;) эдакий тонкий шейпер ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "OpenNews: Скрытые возможности Iptables"  +/
Сообщение от Кум email on 05-Ноя-04, 14:36 
Подборка патчей для обзора IMHO не самая удачная.
Я например в свое время использовал для биллинговой системы интернет-клуба патчик, который прибивал правило в iptables, как только счетчик превышал заданное кол-во байт, кажется он называется limit. Красота, не надо было никаких кронов и прочей мутотени, не говоря уже о том что решение получилось хоть и не совсем стандартным (надо было патчить ядро), но зато красивым и производительным.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Скрытые возможности Iptables (опубликован перевод на русский..."  +/
Сообщение от Аноним (??) on 07-Авг-08, 18:02 
Так несколько портов в одной строке давно можно было указать, только через multiport. Для этого не надо устанавливать patch-o-matic
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Скрытые возможности Iptables (опубликован перевод на русский..."  +/
Сообщение от прохожий. on 15-Янв-10, 18:52 
>Так несколько портов в одной строке давно можно было указать, только через
>multiport. Для этого не надо устанавливать patch-o-matic

Посмеялся...
Если посмотреть на даты сообщений, и увидеть --mport можно, даже не зная факта,
сделать вывод о вхождении этих патчей в мейнстрим.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor