URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 76538
[ Назад ]
Исходное сообщение
"IPTABLES Закрыть диапазон ip адресов"
Отправлено HappyS , 02-Окт-07 10:14 
В каком месте в моем случае надо закрыть доступ ip адресам 192.168.0.10-20 отовсюду
и 212.74.222.146 только изнутри?

У меня схема такая
*filter
:INPUT ACCEPT [6119:344155]
:FORWARD ACCEPT [1685:1247089]
:OUTPUT ACCEPT [13109:4296753]
:server_name - [0:0]
-A FORWARD -j server_name

COMMIT
*nat
:PREROUTING ACCEPT [3502:172884]
:POSTROUTING ACCEPT [106:6858]
:OUTPUT ACCEPT [85:5718]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
SNAT --to -source 195.195.195.195
-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j
SNAT --to -source 195.195.195.195

где 195,195,195,195 - WAN_if сервера server_name

Содержание
Сообщения в этом обсуждении
"IPTABLES Закрыть диапазон ip адресов"
Отправлено sergey.shkolin , 02-Окт-07 10:37 
>[оверквотинг удален]
>*nat
>:PREROUTING ACCEPT [3502:172884]
>:POSTROUTING ACCEPT [106:6858]
>:OUTPUT ACCEPT [85:5718]
>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
>SNAT --to -source 195.195.195.195
>-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j
>SNAT --to -source 195.195.195.195
>
>где 195,195,195,195 - WAN_if сервера server_name

закрыть для чего?
и что из этого олжно получиться ?

"IPTABLES Закрыть диапазон ip адресов"
Отправлено HappyS , 02-Окт-07 13:14 

>закрыть для чего?
>и что из этого олжно получиться ?

должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель выборочные адреса. В маску собрать нельзя (говорю сразу).

"IPTABLES Закрыть диапазон ip адресов"
Отправлено sergey.shkolin , 02-Окт-07 14:58 
>
>>закрыть для чего?
>>и что из этого олжно получиться ?
>
>должно получиться так, чтобы не вся подсеть выходила через WAN, а тоель
>выборочные адреса. В маску собрать нельзя (говорю сразу).

ну а правила для этих адресов прописать?
или хочется загнать выборочные адреса в одно правило?

"IPTABLES Закрыть диапазон ip адресов"
Отправлено HappyS , 03-Окт-07 16:02 
вот такие правила я пишу
-A FORWARD -s 192.168.1.28 -j DROP
и они срабатывают
а мне надо правило на диапазон, например
-A FORWARD -s 192.168.1.200-245 -j DROP
Вот и интересен синтаксис такой команды
"IPTABLES Закрыть диапазон ip адресов"
Отправлено nitalaut , 03-Окт-07 19:46 
>вот такие правила я пишу
>-A FORWARD -s 192.168.1.28 -j DROP
>и они срабатывают
>а мне надо правило на диапазон, например
>-A FORWARD -s 192.168.1.200-245 -j DROP
>Вот и интересен синтаксис такой команды

iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо
--dst-range тоже работает

"IPTABLES Закрыть диапазон ip адресов"
Отправлено HappyS , 04-Окт-07 13:14 
>iptables --трам-пара-рам -m iprange --src-range 192.168.10.1-192.168.10.200 -j куда надо
>--dst-range тоже работает

Ура, заработало!!! Это правило сработало!

Передо мной еще одна задача, с которой наверно все сталкивались. По той же теме. Звучит так -
запретить на каждом алиасе и самом интерфейсе входящие запросы с остальных других. По-другому: запретить всем из массива известных ip адресов и подсетей все входящие пакеты на каждый из этого массива.

Например - мой массив: 192.168.1.10-90/24;212.74.240.0/32
$MASSIV="192.168.1.10-90/24;212.74.240.0/32"
Все находятся в одной arp таблице.
Нужно для каждого примерно такое правило
-A FORWARD -s $MASSIV(кроме себя) -d 192.168.1.10 -j DROP

Вот и вопрос - можно ли одним правилом выполнить эту задачу, чтобы не писать правило ждя каждого отдельно и каков синтаксис?

"IPTABLES Закрыть диапазон ip адресов"
Отправлено PRODVi , 20-Апр-12 13:50 
Использовать предыдущее iprange --src-range