iptables

0

1

Bad argument `:INPUT' Try `iptables -h' or 'iptables --help' for more information. Bad argument `:FORWARD' Try `iptables -h' or 'iptables --help' for more information. Bad argument `:OUTPUT' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—hex-string' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—hex-string' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—hex-string' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—dport' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—dport' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—state' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—state' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—state' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—state' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—state' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—dport' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—state' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—string' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—string' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—string' Try `iptables -h' or 'iptables --help' for more information. Bad argument `—string' Try `iptables -h' or 'iptables --help' for more information.

iptables-save # Generated by iptables-save v1.4.18 on Fri Apr 4 11:13:13 2014 *mangle :PREROUTING ACCEPT [17:872] :INPUT ACCEPT [17:872] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [29:4576] :POSTROUTING ACCEPT [29:4576] COMMIT # Completed on Fri Apr 4 11:13:13 2014 # Generated by iptables-save v1.4.18 on Fri Apr 4 11:13:13 2014 *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [2:296] :POSTROUTING ACCEPT [2:296] COMMIT # Completed on Fri Apr 4 11:13:13 2014 # Generated by iptables-save v1.4.18 on Fri Apr 4 11:13:13 2014 *filter :INPUT ACCEPT [17:872] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [36:5624] COMMIT # Completed on Fri Apr 4 11:13:13 2014

И само правила:

#!/bin/sh iptables -t filter -F iptables -t nat -F iptables -t mangle -F

iptables :INPUT ACCEPT [228396514:18700273796] iptables :FORWARD ACCEPT [0:0] iptables :OUTPUT ACCEPT [283964126:35711014275] iptables -A INPUT -p udp -m udp -m string —hex-string «|178f5230e2e17d73d6bc6562f1ed29e0|» —algo kmp —to 65535 -j DROP iptables -A INPUT -p udp -m udp -m string —hex-string «|d50000806e000000|» —algo kmp —to 65535 -j DROP iptables -A INPUT -p udp -m udp -m string —hex-string «|ffffffff6765746368616c6c656e6765000000000000|» —algo kmp —to 65535 -j DROP iptables -A INPUT -p udp -m udp —dport 27015 -m hashlimit —hashlimit-upto 100/sec —hashlimit-burst 100 —hashlimit-mode srcip —hashlimit-name CSS -j ACCEPT iptables -A INPUT -p udp -m udp —dport 27015 -j DROP iptables -A INPUT -p udp -m state —state NEW -m udp —dport 21 -j ACCEPT iptables -A INPUT -p tcp -m state —state NEW -m tcp —dport 21 -j ACCEPT iptables -A INPUT -p tcp -m state —state NEW -m tcp —dport 22 -j ACCEPT iptables -A INPUT -p tcp -m state —state NEW -m tcp —dport 80 -j ACCEPT iptables -A INPUT -p udp -m state —state NEW -m udp —dport 80 -j ACCEPT iptables -A INPUT -p tcp —dport 80 -m state —state NEW -m limit —limit 5/minute —limit-burst 200 -j ACCEPT iptables -A INPUT -m state —state RELATED,ESTABLISHED -m limit —limit 5/second —limit-burst 5 -j ACCEPT iptables -A INPUT -m string —string «XBrute» —algo kmp —to 65535 -j DROP iptables -A INPUT -m string —string «HLBrute 1.10» —algo kmp —to 65535 -j DROP iptables -A INPUT -m string —string «HLBrute» —algo kmp —to 65535 -j DROP iptables -A INPUT -m string —string «XBrute by ZeaL» —algo kmp —to 65535 -j DROP

Помогите,в чем проблема !?

Ссылка

www.linux.org.ru/wiki/en/Lorcode

invokercd ★★★★
(04.04.14 17:07:05 MSK)

Есть подозрение, что не загружаются модули от iptables

что говорит «cat /proc/net/ip_tables_*» или «lsmod | grep xt_» ?

vel ★★★★★
(04.04.14 20:30:59 MSK)

Ответ на: комментарий от vel 04.04.14 20:30:59 MSK

cat /proc/net/ip_tables_* conntrack conntrack conntrack string icmp mangle nat filter ERROR

kostea
(04.04.14 22:38:25 MSK) автор топика

Ответ на: комментарий от kostea 04.04.14 22:38:25 MSK

на мой взгляд абсолютно лишние "-m udp" после -p udp

нужно убедиться, что модуль ts_kmp загружен

Ядро то поддерживает тестовый поиск ?

zgrep CONFIG_TEXTSEARCH /proc/config.gz
CONFIG_TEXTSEARCH=y
CONFIG_TEXTSEARCH_KMP=m
CONFIG_TEXTSEARCH_BM=m
CONFIG_TEXTSEARCH_FSM=m

Они должны быть хотя бы 'm'

Хотя бы одну команду с "-m string" не пробовал вручную ввести и потом в случае ошибки dmesg посмотреть?

vel ★★★★★
(04.04.14 22:56:24 MSK)

Ответ на: комментарий от vel 04.04.14 22:56:24 MSK

No such file or directory

kostea
(07.04.14 17:23:49 MSK) автор топика

Ответ на: комментарий от kostea 07.04.14 17:23:49 MSK

Вот чудаки, память под конфиг пожалели!

Найди конфиг от ядра и в нем посмотри строчки содержащие CONFIG_TEXTSEARCH или в lib/modules/<uname -r>/kernel/lib посмотри что есть на ts*.ko

vel ★★★★★
(07.04.14 17:38:50 MSK)

Похожие темы