LINUX.ORG.RU
решено ФорумAdmin

iptables - не работает правило

 


0

2

В общем, нужно заблокировать доступ в интернет n-му кол-ву ip-адресов. пишу правило: -A FORWARD -s 10.0.2.167,10.0.2.113,10.0.2.139,10.0.2.143,10.0.2.168,10.0.2.128,10.0.2.147,10.0.2.111,10.0.2.205,10.0.2.27,10.0.2.4,10.0.2.125,10.0.2.132,10.0.2.159,10.0.2.153,10.0.2.66 -j DROP

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             10.0.2.167          
DROP       all  --  anywhere             10.0.2.113          
DROP       all  --  anywhere             10.0.2.139          
DROP       all  --  anywhere             10.0.2.143          
DROP       all  --  anywhere             10.0.2.168          
DROP       all  --  anywhere             10.0.2.128          
DROP       all  --  anywhere             10.0.2.147          
DROP       all  --  anywhere             10.0.2.111          
DROP       all  --  anywhere             10.0.2.205          
DROP       all  --  anywhere             10.0.2.27           
DROP       all  --  anywhere             10.0.2.4            
DROP       all  --  anywhere             10.0.2.125          
DROP       all  --  anywhere             10.0.2.132          
DROP       all  --  anywhere             10.0.2.159          
DROP       all  --  anywhere             10.0.2.153          
DROP       all  --  anywhere             10.0.2.66

На деле доступ в интернет для перечисленных адресов не блокируется, точнее блокируется как то частично, страницы в браузере то прогружаются то нет. [url=]http://itmages.ru/image/view/4325832/7b149045 ЧЯДНТ?

★★★

Про список ip-адресов - это ipset и расширение к iptables «set»

Хорошо бы блокировать обмен данными в обе стороны.

ipset create bl hash:ip
ipset add bl 10.0.2.167
ipset add bl 10.0.2.113
.....
iptables -A FORWARD -m set --math-set bl src -j DROP
iptables -A FORWARD -m set --math-set bl dst -j DROP
vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от shell-script

Прокси на шлюзе не стоит?

Squid фильтрует 80 порт.

а про блокировку http - это через прокси-сервер.

Как заблокировать http на прокси я знаю, задача стоит данным ip закрыть мир полностью по всем портам и протоколам.

скриншот показывает что одна страница прогрузилась а вторая нет и ip из числа заблокированных, а не то что есть доступ по http

julixs ★★★
() автор топика
Ответ на: комментарий от julixs

Скриншот показывает как раз, что http загрузился, а https - нет. Поэтому я и подумал про прокси. FORWARD ты закрыл своим правилом, а вот прокся продолжает пускать.

shell-script ★★★★★
()
Последнее исправление: shell-script (всего исправлений: 1)
Ответ на: комментарий от shell-script

Неудачный пример на скрине, сделан по быстрому. На проксе доступ закрыл, squid отдает банер при запросе http, осталось разобраться c https, страницы то погружаются то нет! думаю сегодня займусь ipset-ом.

julixs ★★★
() автор топика

А почему ты пишешь 

iptables -A FORWARD -s 10.0.2.167,10.0.2.113,...
а в итоге оказывается 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             10.0.2.167          
DROP       all  --  anywhere             10.0.2.113          
DROP       all  --  anywhere             10.0.2.139          
DROP       all  --  anywhere             10.0.2.143  
...
? Твои указанные адреса должны ведь быть source.
Или я что-то не так понял?

rumgot ★★★★★
()
Ответ на: комментарий от rumgot

прошу извинить за ввод в заблуждения, пробовал разные варианты, там выхлоп с ключом -d, вот с -s:

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  10.0.2.130           anywhere            
DROP       all  --  10.0.2.167           anywhere            
DROP       all  --  10.0.2.113           anywhere            
DROP       all  --  10.0.2.139           anywhere            
DROP       all  --  10.0.2.143           anywhere            
DROP       all  --  10.0.2.168           anywhere            
DROP       all  --  10.0.2.128           anywhere            
DROP       all  --  10.0.2.147           anywhere            
DROP       all  --  10.0.2.111           anywhere            
DROP       all  --  10.0.2.205           anywhere            
DROP       all  --  10.0.2.27            anywhere            
DROP       all  --  10.0.2.4             anywhere            
DROP       all  --  10.0.2.125           anywhere            
DROP       all  --  10.0.2.132           anywhere            
DROP       all  --  10.0.2.159           anywhere            
DROP       all  --  10.0.2.153           anywhere            
DROP       all  --  10.0.2.66            anywhere
julixs ★★★
() автор топика
Ответ на: комментарий от anc

политики по умолчанию ACCEPT, все разобрался, это сквида отдавала доступ к http, забыл грохнуть ip с acl в сквиде.

julixs ★★★
() автор топика
Ответ на: комментарий от julixs

Курим iptables tutorial в части прохождения пакетов. По простому input/output это для локальных процессов которым и является squid forward проходящие через шлюз.

anc ★★★★★
()
Ответ на: комментарий от anc

спс, уже сам догадался! я о другом, у меня получилось, что есть 2 ацл, одино дает выход через сквид, второе разрешает чуть больше, чем первое, так вот с allow я все адреса грохнул, а вот с vip забыл. Сори, это все неопытность)

julixs ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin