LINUX.ORG.RU
ФорумAdmin

iptables приём соединений только с одного адреса


0

1

как настроить iptables так чтобы хост принимал соединение только с одного адреса по определенному порту?
есть прокси-сервер, работающий на 3128 порту
надо чтобы к этому прокси подключались только с одного адреса
причем для остальных адресов порт 3128 выглядил как закрытый

и в иптаблес лезть незачем для этого, просто acl в squid настроить и всё

anonymous ()

Про ACL в Squid уже сказали а так как ты хочешь как-то так:

iptables -A INPUT -s 10.10.10.10 -m tcp -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 3128 -j REJECT --reject-with icmp-port-unreachable

Tok ★★ ()
Ответ на: комментарий от Tok

спасибо, оказалось так просто
а насчет ACL, разве его можно настроить так, чтобы порт именно был недоступен?
то есть скажем при скане nmap, порт выглядел как закрытый

Fatalist ()
Ответ на: комментарий от Fatalist

Можно сделать так чтоб его ваще небыло видно что он там открыт замесь «REJECT --reject-with icmp-port-unreachable» использовать DROP

P.S: REJECT это по этикету «послать» вежливо

Tok ★★ ()
Ответ на: комментарий от Tok

ну да, лучше reject, в случае drop будет очевидно, что порт пытаются прятать
а вообще, например, порты на которых ничего не висит, то есть закрытые, линукс отдает как reject?

Fatalist ()
Ответ на: комментарий от Fatalist

> а вообще, например, порты на которых ничего не висит, то есть закрытые, линукс отдает как reject?
Если iptables такой пакет не зарезал, то да.

Nao ★★★★★ ()
Ответ на: комментарий от Fatalist

> а насчет ACL, разве его можно настроить так, чтобы порт именно был недоступен?

то есть скажем при скане nmap, порт выглядел как закрытый

Если настроишь ACL в самом приложении, то сканер увидит порт как открытый и даже можно будет установить соединение на порт, но затем уже само приложение (прокси сервер в данном случае) закроет соединение после проверки ACL.
Надёжность такого метода лежит на совести разработчиков сервиса.

Nao ★★★★★ ()

Я лично обычно прикрываю фаерволом по возможности, лишнее obsсurity не помешает (конечно в дополнении).

Nao ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.