The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"iptables+ipset"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение [ Отслеживать ]

"iptables+ipset"  +/
Сообщение от ramzes3000 (ok) on 02-Окт-17, 15:44 
Здравствуйте.
Связка iptables+ipset
#создаем и добавляем сеть для блокировки
ipset -N dropnet nethash
ipset -A dropnet x.x.x.x/24
# блокируем
-A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
#создаем и добавляем адреса для исключения
ipset -N allowip ipthash
ipset -A allowip x.x.x.x
ipset -A allowip xx.xx.xx.xx

Подскажите, как в iptables разрешить dropnet только для allowip ?


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables+ipset"  +/
Сообщение от Andrey Mitrofanov on 02-Окт-17, 16:01 
>[оверквотинг удален]
> #создаем и добавляем сеть для блокировки
> ipset -N dropnet nethash
> ipset -A dropnet x.x.x.x/24
> # блокируем
> -A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
> #создаем и добавляем адреса для исключения
> ipset -N allowip ipthash
> ipset -A allowip x.x.x.x
> ipset -A allowip xx.xx.xx.xx
> Подскажите, как в iptables разрешить dropnet только для allowip ?

Ну, например, обойти -j DROP для разрешённых -- в отдельной цепочке

-A FORWARD -o eth0.1 -j DROP2SET
-A DROP2SET -m set --set allowip src -j RETURN
-A DROP2SET -m set --set dropnet dst -j DROP

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables+ipset"  +/
Сообщение от ramzes3000 (ok) on 02-Окт-17, 16:18 
>[оверквотинг удален]
>> -A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
>> #создаем и добавляем адреса для исключения
>> ipset -N allowip ipthash
>> ipset -A allowip x.x.x.x
>> ipset -A allowip xx.xx.xx.xx
>> Подскажите, как в iptables разрешить dropnet только для allowip ?
> Ну, например, обойти -j DROP для разрешённых -- в отдельной цепочке
> -A FORWARD -o eth0.1 -j DROP2SET
> -A DROP2SET -m set --set allowip src -j RETURN
> -A DROP2SET -m set --set dropnet dst -j DROP

Хочется одной строкой типа allowip разрешить dropnet

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables+ipset"  +1 +/
Сообщение от Andrey Mitrofanov on 02-Окт-17, 18:38 
> Хочется одной строкой типа allowip разрешить dropnet

Зачем?...

Ну, на,
   iptables -A FORWARD -m set ! --match-set Locals src -m set --match-set Remotes dst -j DROP

Полегчало? (-m set два раза _не_ нужно afaui)

https://utcc.utoronto.ca/~cks/space/blog/linux/IptablesIpset...
https://duckduckgo.com/?q=iptables+multiple+ipset+conditions...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "iptables+ipset"  +/
Сообщение от ramzes3000 (ok) on 02-Окт-17, 18:41 
>> Хочется одной строкой типа allowip разрешить dropnet
> Зачем?...
> Ну, на,
>    iptables -A FORWARD -m set ! --match-set Locals src
> -m set --match-set Remotes dst -j DROP
> Полегчало? (-m set два раза _не_ нужно afaui)
> https://utcc.utoronto.ca/~cks/space/blog/linux/IptablesIpset...
> https://duckduckgo.com/?q=iptables+multiple+ipset+conditions...

Спасибо!
Отпустило.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor