LINUX.ORG.RU
решено ФорумAdmin

iptables. Не могу заблокировать айпишник.

 


0

1

Сижу вот пишу тему с айпишника 192.168.0.250.

Делал так на смотрящем в инет компе:

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t mangle -F
/sbin/iptables -F
/sbin/iptables -X

/sbin/iptables -I INPUT -s 192.168.0.250 -j DROP
/sbin/iptables -I FORWARD -s 192.168.0.250 -j DROP

iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.0.250        anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.0.250        anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

ЧЯДНТ?

Ответ на: комментарий от targitaj

Она же последней отрабатывает. Почему правило на дроп айпишника не срабатывает?

Vovanano
() автор топика
Ответ на: комментарий от Vovanano

может там прокси... сделай ping ya.ru

anonymous
()
Ответ на: комментарий от anonymous

Не важно, через что TC ходит в инет, главное, что он не работает с ip 192.168.0.250, потому что после ″-I INPUT -s 192.168.0.250 -j DROP″ с адреса 192.168.0.250 больше ничего на сервере в iptables не прописать.

mky ★★★★★
()
Ответ на: комментарий от mky

ну, я думал, он локально iptables крутит

anonymous
()
Ответ на: комментарий от Vovanano

Странно это все.

SERVER:~$ ping 192.168.0.250
PING 192.168.0.250 (192.168.0.250) 56(84) bytes of data.
^C
--- 192.168.0.250 ping statistics ---
29 packets transmitted, 0 received, 100% packet loss, time 28225ms

PC:~$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=2.07 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=3.16 ms
64 bytes from 192.168.0.1: icmp_seq=4 ttl=64 time=2.69 ms
64 bytes from 192.168.0.1: icmp_seq=5 ttl=64 time=3.80 ms
^C
--- 192.168.0.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 2.072/2.948/3.801/0.570 ms

PC:~$ traceroute ya.ru
traceroute to ya.ru (213.180.193.3), 30 hops max, 60 byte packets
 1  gateway (192.168.0.1)  2.474 ms  2.456 ms  2.444 ms

 ************************************************

10  * * www.yandex.ru (213.180.193.3)  28.040 ms
Vovanano
() автор топика
Ответ на: комментарий от Vovanano

Покажите на сервере (можно и на клиенте) вывод команды ″ss -t″.

mky ★★★★★
()
Ответ на: комментарий от anonymous

почему ты думал, что 0.250?

NetworkManager'ом поставил manual 250.

по dhcp выдался?

Так и есть, но почему он вообще запрашивался?

Vovanano
() автор топика
Ответ на: комментарий от Vovanano

NetworkManager'ом поставил manual 250.

а до этого стояло автоматически по DHCP? а ты передернул интерфейс после изменения конфигурации?

anonymous
()
Ответ на: комментарий от anonymous

а до этого стояло автоматически по DHCP?

Да, но он мне 10 выдавал.

а ты передернул интерфейс после изменения конфигурации?

И кабель перевставлял, и ip link set dev enp2s0 down/up делал.

Vovanano
() автор топика
Ответ на: комментарий от Vovanano

И кабель перевставлял, и ip link set dev enp2s0 down/up делал.

важно было в NM интерфейс дернуть, т.к. только он знает твои мануальные настройки

anonymous
()
Ответ на: комментарий от Vovanano

ну, короче... если можешь повторить, значит бага, если не воспроизводится, значит сам облажался :)

anonymous
()
Ответ на: комментарий от anonymous

И то и то меняется легко и непринужденно.

Айпишники к макам прибил.

iptables -I FORWARD -s 192.168.0.xx -m mac ! --mac-source xx:xx:xx:xx:xx:xx -j DROP

Я стационарам выдаю статичные айпишники вне пула dhcp для удобства, но сегодня кто-то конфликт адрессов устроил. Винда второй айпишник не берет, пусть без инета посидит пока нормальные настройки не поставит.

Vovanano
() автор топика
Ответ на: комментарий от Vovanano

ну да, супер решение!
ведь то, что неработающий инет на неправильно настроенном компе, все равно мешает работе другого честного компа, чей IP был взять, это ерунда же
а при замене сетевухи/компа нужно будет искать бухого админа, чтобы он исправил настройки iptables при том, что ни ip ни мака старого компа может уже никто и не знать (старый комп списали/выкинули/в ремонте/не грузится)
давай, жги дальше! :)

anonymous
()
Ответ на: комментарий от anonymous

Предлагаёшь бегать по заводу искать умника?

И пока никто руками в сетевые настройки не лезет, все будет впорядке.

Админа у нас вообще нету, я инженер разнорабочий.

Vovanano
() автор топика
Ответ на: комментарий от Vovanano

Я стационарам выдаю статичные айпишники вне пула dhcp для удобства
DHCP выдаст адрес из общего пула

/0

anonymous
()
Ответ на: комментарий от Vovanano

сынок, если при смене железа стационарного компа выдача ему адреса из общего пула для тебя приемлема, то зачем тогда изначально ты выдаешь им статические адреса (и здесь не важно как — вручную или через dhcp по mac)

вообще ты странный какой-то, то что админские функции неофициально выполняешь именно ты, являясь формально «разнорабочим инженером», по-твоему отменяет возможную проблему, которую я описал выше?

anonymous
()
Ответ на: комментарий от anonymous

сынок, если при смене железа стационарного компа выдача ему адреса из общего пула для тебя приемлема, то зачем тогда изначально ты выдаешь им статические адреса (и здесь не важно как — вручную или через dhcp по mac)

Технической необходимости нету, я же написал что мне так удобнее.

вообще ты странный какой-то, то что админские функции неофициально выполняешь именно ты, являясь формально «разнорабочим инженером», по-твоему отменяет возможную проблему, которую я описал выше?

А я вот считаю странными людей ставящих руками настройки сети, он мог и на принтер попасть.

Есть советы как принести в сеть гармонию и благополучие?

Vovanano
() автор топика
Ответ на: комментарий от Vovanano

А я вот считаю странными людей ставящих руками настройки сети, он мог и на принтер попасть.

да, но то, что ты пытаешься делать от этого не спасает

Есть советы как принести в сеть гармонию и благополучие?

от ручного прописывания рандомного ip-адреса на произвольном компе поможет только, быть может, авторизация, например, выдача доступа только по PPPoE

anonymous
()
Ответ на: комментарий от anonymous

да, но то, что ты пытаешься делать от этого не спасает

Не спасает, но хоть даст повод задуматься что может инет от шаловливых ручек отвалился.

от ручного прописывания рандомного ip-адреса на произвольном компе поможет только, быть может, авторизация, например, выдача доступа только по PPPoE

Может вообще вывести свое добро в отдельную подсетку?

Не вижу смысла создавать сложности работягам сидящим по вафле с гаражей.

Vovanano
() автор топика
Ответ на: комментарий от Vovanano

Не спасает, но хоть даст повод задуматься что может инет от шаловливых ручек отвалился.

он и так отвалится, точнее будет глючить на обоих компах, где прописан один адрес
а если они пропишут адрес из динамического диапазона, но уже выданный кому-то?

Не вижу смысла создавать сложности работягам сидящим по вафле с гаражей.

правильно! так даже в офисе не делают — слишком геморойно; забей, простого решения нет; только разбираться по факту коллизии, а вот для удобства такой работы (чтобы не отключать физически последовательно подряд все провода от свичей) существуют всякие умные свичи, где можно глядеть таблицу маков по портам и включать/выключать отдельные порты, но, не думаю, что у тебя такие, или ты такие закупишь только для этого

anonymous
()
Ответ на: комментарий от anonymous

не думаю, что у тебя такие, или ты такие закупишь только для этого

Так и есть.

Коллизия пропала, пока забуду про админство : D

Vovanano
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.