LINUX.ORG.RU
ФорумAdmin

Перенаправление пакетов с помощью iptables


0

1

Доброго времени суток! Использовала команду iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080. Дальше появилась необходимость отменить перенаправление. Попыталась задействовать ту же команду, только без ключа --to-port. Но перенаправление как было, так и осталось.

Подскажите пожалуйста, куда копать, как поправить?

Читайте документацию по ключам. В вашем случае надо всё оставить, заменив лишь "-A PREROUTING" на "-D PREROUTING".

FreeBSD ★★★ ()

Лучше держать правила iptables в скрипте, а для применения правил запускать скрипт на выполнение. Тогда все изменения можно отменить командой iptables --flush, а отменить произвольное правило в цепочке просто удалением/комментированием строки из скрипта, fllush'ем и перезапуском скрипта

pianolender ★★★ ()
Ответ на: комментарий от pianolender

pianolender> Что не так?

Чтобы снять носок не надо снимать штаны, трусы, ... а это именно то что ты предложил.

sdio ★★★★★ ()
Ответ на: комментарий от pianolender

pianolender> Я предложил более универсальный способ

В случае файервола он не нужен, т.к. в момент смены одного правила ты остаешься с голой жопой.

sdio ★★★★★ ()
Ответ на: комментарий от sdio

А случае иптейблс в при изменении набора правил происходит полная перезагрузка всего листа в любом случае (то есть даже если просто добавлять правило).

ventilator ★★★ ()
Ответ на: комментарий от blind_oracle

blind_oracle> На пару секунд это имхо не страшно,

За пару секунд можно 20Мбайт по 100Мбит сети перелить ...

sdio ★★★★★ ()
Ответ на: комментарий от pianolender

У меня подсчет трафика, как минимум 1 000 правил (скорее в двое больше, не считал), перегружается меньше секунды. Как раньше говорил, создал свой скрипт, и в RH поломал /etc/init.d/iptables, чтоб при старте грузил мой скрипт. Самое интересное, что NATы при рестарте не рвутся.

lvi ★★★★ ()
Ответ на: комментарий от sdio

Если политика на цепочки стоит DROP, как и должно быть, то сначала в скрипте делается флаш цепочек, а потом они заполняются разрешающими правилами, так что в худшем случае определенный траффик не будет ходить вообще пару секунд, для безопасности угрозы не будет.

blind_oracle ★★★★★ ()
Ответ на: комментарий от lvi

НАТы хранятся в conntrack в ядре, они к правилам в общем не привязаны я думаю... 1000 правил это уже прилично, я в свое время пробовал 10-15 тысяч правил (блочил атакующих в ДДОС), система сдыхала почти окончательно, так что ввели ipset.

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.