firehol или iptables: не получается отфильтровать по пользователю

0

1

В firehol не работают запрещающие правила с указанием пользователя

проверяю под root:
telnet mail.ru 443
Trying 217.69.139.200...
Connected to mail.ru.
Escape character is '^]'.

связь есть

в firehol в interface провайдера добавляю:
client https drop uid 1008
перезапускаю firehol

пробую под рутом:
telnet mail.ru 443
связи нет!

меняю правило на
client https drop uid not 1008
перезапускаю firehol
связи опять нет

впечатление, что фильтр по пользователю игнорируется в iptables и блокируются все пользователи

судя по iptables -L -n и firehol debug так и есть
потому что каждое client правило firehol транслируется в 2 правила iptables, прямое выглядит нормально, а обратка без фильтра по пользователю, наверно потому что на INPUT фильтр не работает?

получается по пользователям можно раздавать только разрешения, а не запреты, неудобно однако и немного неожиданно и головоломно

Ссылка

← Установка валидного сертификата в ejabberd

Как посчитать уникальные IP из логов апача в месяц? →

"-m owner" работает только в output.

vel ★★★★★
(24.06.15 20:19:21 MSK)

Ответ на: комментарий от vel 24.06.15 20:19:21 MSK

так это понятно теперь, но почему firehol разрешает делать блокирующие правила с такими фильтрами?

не правильнее бы было для DROP/REJECT выдавать сообщение об ошибке или создавать только исходящее в таком случае?

~~sanyock~~ ★★
(24.06.15 20:23:56 MSK) автор топика

Ответ на: комментарий от sanyock 24.06.15 20:23:56 MSK

Задай этот вопрос разработчикам firehol :)

vel ★★★★★
(24.06.15 20:28:23 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← Установка валидного сертификата в ejabberd

Admin

Как посчитать уникальные IP из логов апача в месяц? →

Похожие темы