LINUX.ORG.RU
ФорумAdmin

Почемуто не получается с ipchains


0

0

Подскажите как убрать сервис www только у одной машины. При этом сохранить работу почты и прочего связанного с TCP ? Я с помощью ipchains пока для эксперимента пытаюсь закрыть порт 80

командой

ipchains -A input -p TCP -d 10.10.9.3 www -j DENY - все как работало так и работает.

пробую так

ipchains -A input -p TCP -d ! 10.10.9.3 www -j DENY -отрубается 80 порт, но не только у указанной машины ,но и у остальных.

пробую так

ipchains -A input -p TCP -d 10.10.9.3 ! www -j DENY - ваще на всех машинах всё связанное с TCP затыкается

Как же правильно?

anonymous

Re: Почемуто не получается с ipchains

Попробую разобрать твои правила ,если учитывать что 10.10.9.3 это IP ашины которой ты и намерен заблокировать WWW : -A input -p TCP -d 10.10.9.3 www -j DENY входящие соединия по TCP к адресу 10.10.9.3 по WWW запретить Если у тебя маскарадинг ,то это и не будет работать ,так как WWW сервак шлёт пакет не для 10.10.9.3 ,а для IP адреса внешней карты твоего шлюза. Тебе надо тогда уж писать так : -A output -p TCP -d 10.10.9.3 www -j DENY то есть пакет от сервака пришёл на шлюз ,но дальше он уже не сможет пойти ,так как адресок он уже поменял и теперь собираеться идти на 10.10.9.3 ,но шлюз его не выпустит. А что касаеться остальных правил : -A input -p TCP -d ! 10.10.9.3 www -j DENY Входящие соединения по TCP к ????? (видимо всем) кроме 10.10.9.3 по 80 порту запретить. -A input -p TCP -d 10.10.9.3 ! www -j DENY Входящие соединения по TCP к 10.10.9.3 кроме www запретить.

anonymous ()

Re: Почемуто не получается с ipchains

Написал команду -A output -p TCP -d 10.10.9.3 www -j DENY

результат тот же www работает

anonymous ()

Re: Почемуто не получается с ipchains

заместо www попробуй просто 80 порт -A output -p TCP -d 10.10.9.3 80 -j DENY А вообще пиши на al_mix@mail.ru Если не заработает ,то обрисуй конфигурацию сети ,какие Ip у машины которую ты хочешь заблокировать и какие у сервака ,маскарадинг у тебя ,или что там ?

anonymous ()

Re: Почемуто не получается с ipchains

Не и так не выходит!

anonymous ()

Re: Почемуто не получается с ipchains

-A output -tcp -s 0/0 80 -d 10.10.9.3 -j DENY

anonymous ()

Re: Почемуто не получается с ipchains

Так сработало!

anonymous ()

Re: Почемуто не получается с ipchains

Мое мнение относительно данного вопроса:
Скорее всего все не работает как хочется из-за неуказания
сетевой маски т.е. надо писать не
ipchains -A input -p TCP -d 10.10.9.3 www -j DENY , а
ipchains -A input -p TCP -d 10.10.9.3/24 www -j DENY для
случая сети класса С.

pivoo ()

Re: Почемуто не получается с ipchains

Как уже выше сказанно - сработало ... А как ты сказал ,кстати не сработает ... :+)) Просто потому ,что надо закрывать доступ на 80 порт не для машины ,а для серваков ,а машина при инициализации соединения совершенно не обязательно откроет 80 порт ,что и происходило ...

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.