LINUX.ORG.RU
ФорумAdmin

Как заблокировать подсеть


0

1

Как с помощью IPTABLES заблокировать доступ к внешней подсети 91.20.0.0/16 и 91.20.0.0/16 ?

-A FORWARD -p tcp -m tcp -d 91.20.0.0/16 -j REJECT

и

iptables -A INPUT -d 91.20.0.0/16 -j REJECT

непомогают

Пинг на айпишник( 91.20.223.107 ) из этой подсети продолжается

это правило реджектит пакеты, идущие на пул_адресов, принадлежащий контуперу/устройству на котором оно (правило) прописано.

иными словами: под INPUT'ом подразумеваются входящие пакеты

cac2s ()

ты этими строчками пинг не закроешь. google -> icmp

alikhantara ()
Ответ на: комментарий от cac2s

ок. с инпутом понятно, промахнулся. А как, все таки, полностью обрезать доступ к этой сети?

I00matolog ()

-A FORWARD -p ALL -d 91.20.0.0/16 -j DROP

gserg ★★ ()
Ответ на: комментарий от alikhantara

во первых, как уже отметили, icmp != tcp, а вовторых, как опять таки уже отметили, ты режиш входящий тарафик, а не исходящий. т.ч.:

iptables -A INPUT -s 91.20.0.0/16 -j REJECT
iptables -A OUTPUT -d 91.20.0.0/16 -j REJECT

beastie ★★★★★ ()

переведите уже слово INPUT

leave ★★★★★ ()
Ответ на: комментарий от beastie

ты режиш входящий тарафик, а не исходящий

достаточно заблочить в любую сторону :)

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

>достаточно заблочить в любую сторону

если первым правилом стоит -m state с ESTABLISHED - не достаточно )))

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

скорее всего такие пакеты попадут в NEW а не ESTABLISHED, доверю тебе это проверить :)

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

если они являются ответом на исходящий трафик с этого хоста - то тогда в ESTABLISHED - проверено! :)

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.