в чем разница IPCHAINS -A и IPCHAINS -I

0

0

вот есть такая тонкость - на сервере около 500 правил , маскарадинг , инпут , аутпут , денаи тд и тп .
Причем перекрывающих правил как бы нет - т.е например сеть 192.168.0.0/24 ACCEPT а 192.168.0.15 DENY

Ввожу ipchains -A input неработает , ввожу тоже правило как ipchains -I input - работает , в чем может быть проблема ? Изначально кстати правилами допускается работа с удаленным сервисом : те

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
ipchains -A input -s IP -d D-IP -j ACCEPT
ipchains -A output -s D-IP -d IP -j ACCEPT
ipchains -A forward -s IP -d D-IP -j MASQ

это конечно только КАК ПРИМЕР , толку в этих правилах как бы нет :)
помимо этого добавлены правила учета трафика по каждому апишнику нескольким портам протоколам и тд Вобщем каша ешо та ...

и вот возникла надобность при текущих правилах (допустим как выше) сбацать правило

ipchains -A input -s IP -d D-IP 6667 -p tcp -j DENY
неработает , меняем A на I - работает
ipchains -I input -s IP -d D-IP 6667 -p tcp -j DENY
это правило работает

в чем загвоздка , и вдруг в один прекрасный момент перестанет работать и правило с символом -I ???

Ссылка

←	посоветуйте прогу для просмотра трафика в режиме реального времени

iproute2 где взять?

→

Значит смотри, опция -A добавляет правило к концу цепочки(input output forward) а вот опция -I добавляет в начало! Улавливаешь разницу? То есть если ты добавляешь в конец, то скорее всего перед твоим правилом есть правило, которое делает обратное(правила в цепочке выполняются последовательно)
Ты пишешь:
>ipchains -A input -s IP -d D-IP 6667 -p tcp -j DENY
>не работает , меняем A на I - работает
Обрати внимание: ты добавляешь в конец и не работает, следовательно перед твои правилом есть правило, которое разрешает tcp пакеты на этот порт, и по достижению этого правила пакет принимается, следовательно дальнейшие цепочки пропускаются.

>ipchains -I input -s IP -d D-IP 6667 -p tcp -j DENY
>это правило работает
А вот ты добавил в начало, и заработало!
Посмотри внимательно все правила, и вставь свое в то место, куда надо.
А вообще-то честно говоря более 500 правил это не тонкость, а бестолковость(ну если конечно за серваком не толпы сетей), я че-то не понимаю, мне кажется все попроще можно сделать.

kyd ★
(06.10.02 13:05:15 MSD)

Ссылка

Вот как раз и толпы , я из бедной нищей страны , называемой ЛАТВИЯ , тут с нас берут бабло за трафик идущий из заграницы , поэтому приходится закрывать заграницу путем прописывания ВСЕХ апишников (т.е. подсетей ) бегающих внутри страны . Для того чтобы байтики не тикали приходитца закрывать и открывать вручную по аутпут и инпут ЛВ зону, вдобавок у нас только 1 реал апи на котором сидит народ , вот и приходится помио всего еще и правила маскарадинга прописывать , так что общее количество правил довольно огромно .

На счет -A и -I понял , пойду прикидывать как что и куда :)

anonymous
(06.10.02 17:17:17 MSD)