LINUX.ORG.RU
ФорумAdmin

Firewall - закрыть порт после некоторого периода неактивности


0

2

Собственно субж. Как можно с помощью, к примеру, iptables, организовать подобное? Нужно, чтобы после, скажем, 5-и минут неактивности, определенный порт (e.g. 1111) закрывался. Большое спасибо заранее всем ответившим.


Ethernet over Ethernet
[iptv filter multicast] решение

в голову приходят knock+xinetd, но на этом фантазии заканчиваются

anonymous
()
Ответ на: комментарий от sdio

>command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

а это што? %%петросян.жпг%%

Я подозреваю, что он сам не знает, чего хотел

anonymous
()
Ответ на: комментарий от anonymous

Знает, знает). Всем спасибо, разобрался. tcpdump + iptables + скрипт. tcpdump слушает порт, как только чего-то ловит, сбрасывается таймер, если таймер дощелкал до конца, порт закрывается. Открывается, есессно, руками. knockd это да, но нужно было разобратся стандартными средствами, нереально на весь зоопарк ставить что-то еще.

zyxos2
() автор топика
Ответ на: комментарий от zyxos2

с каких это пор ваше поделие стало стандартным средством? у вас зоопарк из слак, лфс и гент? ну поздравляю, чо

anonymous
()
Ответ на: комментарий от zyxos2

zyxos2> tcpdump слушает порт, как только чего-то ловит, сбрасывается таймер, если таймер дощелкал до конца, порт закрывается.

хренасе велосипед! Вместо слежения за трафиком при помощи tcpdump, можно просто следить за счетчиком трафика на iptables.

sdio
()

предлагаю иптаблесом натить пакеты на отдельный хост внутри локалки, а специальным электроприбором из атмела и фотодатчика мониторить моргание лампочки на свитче и шонибудь куданибудь коммутировать. В результате не придётся ничего вообще ставить на весь зоопарк.

anonymous
()
Ответ на: комментарий от sdio

Что знаю, то и юзаю. Если подскажете, как следить за счетчиком трафика при помощи iptables, буду очень благодарен, т.к. с iptables знаком весьма поверхностно.

zyxos2
() автор топика
Ответ на: комментарий от anonymous

Стандартными средствами являются tcpdump и iptables.

zyxos2
() автор топика
Ответ на: комментарий от anonymous

Прошивку, схему подсоединения фотодатчика, и схему коммутации, пожалуйста. Меня очень заинтересовало ваше предложение.

zyxos2
() автор топика
Ответ на: комментарий от sdio

ещё -n чтобы оно имена не резолвило

anonymous
()
Ответ на: комментарий от zyxos2

я сначала knock предложил, а потом уже развил вашу мысль, не более того

anonymous
()
Ответ на: комментарий от zyxos2

Что знаю, то и юзаю. Если подскажете, как следить за счетчиком трафика при помощи iptables, буду очень благодарен, т.к. с iptables знаком весьма поверхностно.

Есть /proc/net/nf_conntrack, там же можно брать и кол-во пакетов для каждого соедтинения.

mashina
()

добавить правило iptables -A INPUT -p tcp --dport $порт -j ACCEPT (для счетчика пакетов). написать скрипт с циклом, парсить в нем iptables -L INPUT -v -n .запоминать время и счетчик пакетов. затем сравнивать. если по проществии 5 мин не пришло ни одного пакета, удалить правило.
profit!

Rost
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Ethernet over Ethernet
Admin
[iptv filter multicast] решение