LINUX.ORG.RU
ФорумAdmin

iptables не реагирует на новые правила


0

0

Система SUsE Linux 10.2, внешняя и внутреняя сетевухи. Все работает. Но когда я добавляю новые правила для своих юзеров ничего не происходит. Пытался отключить одного - ничего не вышло. Как трафик качал так и качает. Пример: iptables -D INPUT -s 192.168.0.25 -p TCP --dport 80 -j REJECT Что можно придумать?

anonymous

Телепаты в отпуске

> Но когда я добавляю новые правила для своих юзеров ничего не происходит.

Список правил (iptables -nvL) -- в студию.

Скорее всего, предыдущие правила разрешают проходить тем пакетам, которые
Вы хотели запретить.

> Пример: iptables -D INPUT -s 192.168.0.25 -p TCP --dport 80 -j REJECT

Пример бесполезный, да еще и куча ошибок. Во-первых, iptables -D не добавляет
правила, а удаляет. Во-вторых, --dport 80 -- наверное, имеется в виду
--sport 80. В третьих, пакеты в INPUT цепочке владельца не имеют. Наконец,
нужно знать предыдущие правила, какое-то из них может срабатывать.

Dselect ★★★
()
Ответ на: Телепаты в отпуске от Dselect

Вот что выдает. 192.68.0.207 - это поставил TA Billing что бы отключить его. А ничего не происходит. Все правила поставил встроенный ФВ. Я его настроил через КДЕ. (сорри за ошибку. не ту строну привел в пример)

Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1010K 858M ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0 7765K 1248M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 82510 6821K input_int 0 -- eth2 * 0.0.0.0/0 0.0.0.0/0 15208 2148K input_ext 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0 0 0 input_ext 0 -- * * 0.0.0.0/0 0.0.0.0/0 0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET ' 0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 0 0 DROP 0 -- * * 192.168.0.207 0.0.0.0/0 0 0 DROP 0 -- * * 0.0.0.0/0 192.168.0.207

anonymous
()
Ответ на: комментарий от anonymous

> Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1010K 858M ACCEPT 0 -- lo *

Слушайте, ну ведь невозможно читать-то. Запостите как Preformatted text.

Dselect ★★★
()
Ответ на: комментарий от Dselect

И это, нужно iptables -nvL, а не iptables -nvL INPUT.

Нужно потому, что может быть ситуация вида:

iptables -I INPUT 1 -p tcp -m state --state ESTABLISHED -j ACCEPT
# и еще что-то
iptables -I OUTPUT 1 -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -I OUTPUT 2 -p tcp -m multiport --destination-ports 80,443,foo,bar


а не потому, что кому-то надо поломать Ваши машины.

Dselect ★★★
()

> Как трафик качал так и качает.

Требуется уточнение. Что именно сделано: добавли правила, прибили процесс(ы),
которые занимались непотребным делом, или что-то еще?

Dselect ★★★
()
Ответ на: комментарий от Dselect 

Дык я так и сделал :(
Там еще бо

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
1010K  858M ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
7765K 1248M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
82510 6821K input_int  0    --  eth2   *       0.0.0.0/0            0.0.0.0/0
15208 2148K input_ext  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
    0     0 input_ext  0    --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
    0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 DROP       0    --  *      *       192.168.0.207        0.0.0.0/0
    0     0 DROP       0    --  *      *       0.0.0.0/0            192.168.0.207

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 141K 6714K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
1290K  145M forward_int  0    --  eth2   *       0.0.0.0/0            0.0.0.0/0
1442K 1087M forward_ext  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
    0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 992 packets, 45995 bytes)
 pkts bytes target     prot opt in     out     source               destination
1011K  858M ACCEPT     0    --  *      lo      0.0.0.0/0            0.0.0.0/0
  13M   12G ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
  961 44755 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
    0     0 DROP       0    --  *      *       192.168.0.207        0.0.0.0/0
   66  2640 DROP       0    --  *      *       0.0.0.0/0            192.168.0.207

anonymous
()
Ответ на: комментарий от anonymous 

> 82510 6821K input_int  0    --  eth2   *       0.0.0.0/0            0.0.0.0/0
> 15208 2148K input_ext  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0

Вполне возможно, что в этих цепочках происходит что-то интересное.

> 0     0 DROP       0    --  *      *       192.168.0.207        0.0.0.0/0
> 0     0 DROP       0    --  *      *       0.0.0.0/0            192.168.0.207

Не понятно, чего Вы этим хотели добиться.

И еще, не ясно, где собственно находится зловредный пользователь. Судя по
правилам, на локальной машине. Но неплохо было бы уточнить.

Dselect ★★★
()
Ответ на: комментарий от Dselect 

Пользователь - 192.168.0.207
Его добавила биллинговая програмка TA Billing. Я дал команду его отключить, а он продолжает работать. Я уже нифига не пойму куда лезть.
Так правильно я пишу?
iptables -A INPUT -s 192.168.0.25 -d 0.0.0.0/0 -p tcp --dport 80 -j REJECT

anonymous
()
Ответ на: комментарий от anonymous

> Пользователь - 192.168.0.207

Теперь моя очередь ничего не понимать. Почему Вы добавляете правила в
INPUT, а не в FORWARD? И почему в конец? Почему 192.168.0.25?

> Его добавила биллинговая програмка TA Billing.

Может, пора таки прекратить пользоваться шароварными поделками?

> Я дал команду его отключить, а он продолжает работать.

К iptables этот факт (скорее всего) никакого отношения не имеет.

Dselect ★★★
()
Ответ на: комментарий от Dselect

:) сорри еси че не так. Надо в FORWARD добавлять? Хорошо. А почему в конец? Я перерыл доку по этому тейблю и ненашел опции добавления в начало. А адрес .25 я привел к примеру. Хочу ему обрубить 80 порт. А .207 это ТА Биллинг добавил что бы обрубить пользователя. Я в интерфейсе нажал кнопочку "отключить" и он добавил такое правило. А програмулина фревая. Ее хвалят. Она работает с iptables. Взял тут - http://traflinux.sourceforge.net Можно объяснить популярно? А? Плиизз.

anonymous
()
Ответ на: комментарий от anonymous

> Надо в FORWARD добавлять?

http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-6.html

> Я перерыл доку по этому тейблю и ненашел опции добавления в начало.

iptables -I <имя цепочки> 1

> А адрес .25 я привел к примеру. Хочу ему обрубить 80 порт.

То, что Вы написали, (избирательно) обрубает 80-й порт самому роутеру :)

> А .207 это ТА Биллинг добавил что бы обрубить пользователя.

Ох и гадость же эта ваша заливная рыба^W^W ТА Биллинг.

> Можно объяснить популярно?

http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html

Dselect ★★★
()
Ответ на: комментарий от Dselect

Начинаю врубаться. Ну хоть кто-то на истинный путь меня наставил! Буду колбасить с пон едельника... Остаюсь на связи.

anonymous
()
Ответ на: комментарий от anonymous

а сервис iptables вы хоть рестартуете после изменений правил?

не в обиду будет сказано :-)

ну и про iptables-save не забывайте

anonymous
()
Ответ на: комментарий от anonymous

Угу. Я iptables только недавно начал изучать. А так в основном через YaST фавол настроил.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin