https://opennet.ru/openforum/vsluhforumID1/76404.html У меня схема такая<br>*filter<br>:INPUT ACCEPT [6119:344155]<br>:FORWARD ACCEPT [1685:1247089]<br>:OUTPUT ACCEPT [13109:4296753]<br>:localhost - [0:0]<br>-A FORWARD -j localhost<br>COMMIT<br>*nat<br>:PREROUTING ACCEPT [3502:172884]<br>:POSTROUTING ACCEPT [106:6858]<br>:OUTPUT ACCEPT [85:5718]<br>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195<br>COMMIT<br>мне нужно отрезать доступ некоторым ip адресам<br>вопрос - в каком месте это надо сделать - в разделе nat или в разделе filter и как правильно написать команду?<br>команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter<br> https://opennet.ru/openforum/vsluhforumID1/76404.html#5 Thu, 27 Sep 2007 07:33:59 GMT я создал алиасы на интерфейсе eth1<br>eth1:1 -&gt; 192,168,1,1<br>eth1:2 -&gt; 192,168,2,1<br>как мне сделать запрет на каждом алиасе, чтобы одна подсеть не видела другую или алиасы должны быть строго в одной подсети?<br>-A FORWARD -i eth1:1 -s ! 192.168.1.0/255.255.255.0 -j DROP<br>-A FORWARD -i eth1:2 -s ! 192.168.2.0/255.255.255.0 -j DROP<br>будет ли конфликт?<br> https://opennet.ru/openforum/vsluhforumID1/76404.html#4 Tue, 25 Sep 2007 10:58:25 GMT ???<br>-I FORWARD --src-range 192.168.0.8-192.168.0.28 -j DROP<br>а как же осуществить black list - наверно есть обход<br>PS у меня привязаны ip и менять их нельзя чтобы собрать в маску <br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/76404.html#3 Tue, 25 Sep 2007 10:45:30 GMT &gt;<br>&gt;&gt;-I FORWARD -s 192.168.0.8 -j DROP <br>&gt;<br>&gt;помогло <br>&gt;<br>&gt;а как быстро можно перезапукать iptables без перезагрузки linux <br><br>service iptables restart<br>или<br>/etc/rc.d/init.d/iptables restart<br><br>&gt;и как вставить список ip адресов вместо одного ip <br><br>только с помощью маски, например 192.168.0.8/30<br><br> https://opennet.ru/openforum/vsluhforumID1/76404.html#2 Tue, 25 Sep 2007 10:28:54 GMT <br>&gt;-I FORWARD -s 192.168.0.8 -j DROP <br><br>помогло<br><br>а как быстро можно перезапукать iptables без перезагрузки linux <br>и как вставить список ip адресов вместо одного ip <br><br><br> https://opennet.ru/openforum/vsluhforumID1/76404.html#1 Tue, 25 Sep 2007 09:53:08 GMT &gt;У меня схема такая <br>&gt;*filter <br>&gt;:INPUT ACCEPT [6119:344155] <br>&gt;:FORWARD ACCEPT [1685:1247089] <br>&gt;:OUTPUT ACCEPT [13109:4296753] <br>&gt;:localhost - [0:0] <br>&gt;-A FORWARD -j localhost <br><br>для чего эти две строчки с localhost ?<br><br>&gt;COMMIT <br>&gt;*nat <br>&gt;:PREROUTING ACCEPT [3502:172884] <br>&gt;:POSTROUTING ACCEPT [106:6858] <br>&gt;:OUTPUT ACCEPT [85:5718] <br>&gt;-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195 <br><br>этьо правило напиши проще <br>-A POSTROUTING -o ethX -j SNAT --to -source 195.195.195.195 <br>где ethX интерфейс смотрящий в интернет<br><br>&gt;COMMIT <br>&gt;мне нужно отрезать доступ некоторым ip адресам <br>&gt;вопрос - в каком месте это надо сделать - в разделе nat <br>&gt;или в разделе filter и как правильно написать команду? <br>&gt;команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter <br>&gt;<br><br>для фильтрации предназначена таблица filter <br>в ней и делаются ограничения<br>цепочка INPUT предназначена для входящих пакетов т.е. для тех что идут непосредственно на роутер (http, ftp