LINUX.ORG.RU
решено ФорумAdmin

iptables log и drop


0

1

Есть правила, такие

-N SAMBA
-A INPUT -j SAMBA
-A SAMBA -p tcp --dport 139 -m iprange --src-range 192.168.1.2-192.168.1.250 -j ACCEPT
-A SAMBA -m limit --limit 5/min -j LOG --log-prefix "139 tcp PORT DENY: "
-A SAMBA -p tcp --dport 139 -d 192.168.1.3/32 -j DROP
хотя и комп за роутером, пакеты всё равно каким-то боком доезжают до nas-а и пишутся в логи
Jul 29 13:50:16 terrapi kernel: [576505.682876] 139 tcp PORT DENY: IN=eth0 OUT= MAC=b8:27:eb:30:eb:6a:4c:60:de:d1:4d:a4:08:00:45:70:00:7c:00:00:40:00:32:11:5a:8c SRC=67.215.231.242 DST=192.168.1.3 LEN=124 TOS=0x10 PREC=0x60 TTL=50 ID=0 DF PROTO=UDP SPT=3000 DPT=41530 LEN=104 
iptables -v -nL выдаёт следующие, пакеты в логах есть, а в дропах - нет, как это понимать?
Chain SAMBA (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:139 source IP range 192.168.1.2-192.168.1.250
    7  1007 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 5/min burst 5 LOG flags 0 level 4 prefix "139 tcp PORT DENY: "
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.3          tcp dpt:139

★★★★

Во-первых, в правиле с LOG нету требования 139 tcp порта.

Во-вторых, если фильтруешь на шлюзе, а не на nas'е, то фильтровать надо в FORWARD, а не в input

anonymous ()
Ответ на: комментарий от anonymous

понял в чём косяк, лог шёл на всё, спасибо за ответ о требовании

TERRANZ ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.