forum.opennet.ru - "Несколько адресов в одном правиле iptables" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Несколько адресов в одном правиле iptables"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Несколько адресов в одном правиле iptables"		+/–
Сообщение от Sugar (ok) on 27-Окт-09, 18:21
Здравствуйте. Есть такая проблема, нужно ограничить доступ к роутеру из локалки несколькими айпишниками (допустим это 1.1.1.1 и 2.2.2.2). Первое и самое логичное, на мой взгляд, решение было: iptables -I INPUT 1 -s ! 1.1.1.1,2.2.2.2 -j DROP Но, покурив маны, я понял, что скорее всего iptables не поддерживает этой функции. Подскажите пожалуйста, прав ли я? Может все-таки как-то можно указывать несколько адресов источников (назначений), по аналогии с -m multiport --[ds]ports ... Заранее благодарен.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Несколько адресов в одном правиле iptables, Andrey Mitrofanov, 19:12 , 27-Окт-09, (1)

Несколько адресов в одном правиле iptables, Аноним, 21:34 , 27-Окт-09, (2)
Несколько адресов в одном правиле iptables, Sugar, 17:33 , 29-Окт-09, (7)

Несколько адресов в одном правиле iptables, StreSS.t, 22:16 , 27-Окт-09, (3)

Несколько адресов в одном правиле iptables, Andrey Mitrofanov, 09:39 , 29-Окт-09, (4)

Несколько адресов в одном правиле iptables, vasya, 10:41 , 29-Окт-09, (5)

Несколько адресов в одном правиле iptables, Sugar, 17:31 , 29-Окт-09, (6)

Несколько адресов в одном правиле iptables, vasya, 18:27 , 29-Окт-09, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Несколько адресов в одном правиле iptables" +/–

Сообщение от Andrey Mitrofanov on 27-Окт-09, 19:12

>iptables -I INPUT 1 -s ! 1.1.1.1,2.2.2.2 -j DROP
>Но, покурив маны, я понял, что скорее всего iptables не поддерживает этой
>функции. Подскажите пожалуйста, прав ли я?
Да.
>Может все-таки как-то можно указывать несколько адресов источников (назначений), по аналогии с -m multiport --[ds]ports ...
Да, как-то можно. На выбор:
1/ "цикл на баше"(тм)
2/ генератор правил для, который умеет...
3/ ipset
4/ iptables 1.4.5+
5/ ...
...google.ru + iptables несколько адресов site:opennet.ru

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Несколько адресов в одном правиле iptables" +/–

Сообщение от Аноним (??) on 27-Окт-09, 21:34

...
6. перекомпилять ядро и iptables для использования конструкции iprange
7. использовать другой firewall

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Несколько адресов в одном правиле iptables" +/–

Сообщение от Sugar (ok) on 29-Окт-09, 17:33

>Да, как-то можно. На выбор:
>
>1/ "цикл на баше"(тм)
>2/ генератор правил для, который умеет...
>3/ ipset
>4/ iptables 1.4.5+
>5/ ...
Спасибо за совет, почитал про ipset, кажись то что нужно. Но правда еще не пробовал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Несколько адресов в одном правиле iptables" +/–

Сообщение от StreSS.t on 27-Окт-09, 22:16

sudo iptables -I INPUT -m iprange --src-range 192.168.0.100-192.168.0.200 -j DROP
Дальше играемся параметрами
ЗЫ Debian GNU/Linux squeeze/sid

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Несколько адресов в одном правиле iptables" +/–

Сообщение от Andrey Mitrofanov on 29-Окт-09, 09:39

>sudo iptables -I INPUT -m iprange --src-range 192.168.0.100-192.168.0.200 -j DROP
>Дальше играемся параметрами
Поиграйтесь с параметрами для получения "-s ! 1.1.1.1,2.2.2.2", очень прошу....
--src-range 1.1.1.1-2.2.2.2 ! --src-range 1.1.1.2-2.2.2.1 !?? %)))
И в Debian Lenny с 2.6.26 и 1.4.4 - iprange присутствует, судя по .../kernel/net/netfilter/xt_iprange.ko и соотв.man-у.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Несколько адресов в одном правиле iptables" +/–

Сообщение от vasya (??) on 29-Окт-09, 10:41

я б сделал так
iptables -N BAD_ADDRESS
iptables -A BAD_ADDRESS -s 1.1.1.1 -j DROP
iptables -A BAD_ADDRESS -s 2.2.2.2 -j DROP
iptables -A BAD_ADDRESS -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j BAD_ADDRESS

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Несколько адресов в одном правиле iptables" +/–

Сообщение от Sugar (ok) on 29-Окт-09, 17:31

>я б сделал так
>
>iptables -N BAD_ADDRESS
>iptables -A BAD_ADDRESS -s 1.1.1.1 -j DROP
>iptables -A BAD_ADDRESS -s 2.2.2.2 -j DROP
>iptables -A BAD_ADDRESS -j ACCEPT
>
>iptables -A INPUT -p tcp --dport 80 -j BAD_ADDRESS
Дело в том, что эти адреса как раз должны иметь доступ к маршрутизатору. А так выходит что им доступ запрещен...
Я пока особо не думал, но походу средствами только iptables это довольно сложно сделать. Нужно ipset глянуть, попробовать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Несколько адресов в одном правиле iptables" +/–

Сообщение от vasya (??) on 29-Окт-09, 18:27

>[оверквотинг удален]
>>iptables -A BAD_ADDRESS -s 1.1.1.1 -j DROP
>>iptables -A BAD_ADDRESS -s 2.2.2.2 -j DROP
>>iptables -A BAD_ADDRESS -j ACCEPT
>>
>>iptables -A INPUT -p tcp --dport 80 -j BAD_ADDRESS
>
>Дело в том, что эти адреса как раз должны иметь доступ к
>маршрутизатору. А так выходит что им доступ запрещен...
>Я пока особо не думал, но походу средствами только iptables это довольно
>сложно сделать. Нужно ipset глянуть, попробовать.
:) тогда наоборот
iptables -N GOOD_ADDRESS
iptables -A GOOD_ADDRESS -s 1.1.1.1 -j ACCEPT
iptables -A GOOD_ADDRESS -s 2.2.2.2 -j ACCEPT
iptables -A GOOD_ADDRESS -j DROP
iptables -A INPUT -p tcp --dport 80 -j GOOD_ADDRESS

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Несколько адресов в одном правиле iptables"		+/–
Сообщение от Andrey Mitrofanov on 27-Окт-09, 19:12
>iptables -I INPUT 1 -s ! 1.1.1.1,2.2.2.2 -j DROP >Но, покурив маны, я понял, что скорее всего iptables не поддерживает этой >функции. Подскажите пожалуйста, прав ли я? Да. >Может все-таки как-то можно указывать несколько адресов источников (назначений), по аналогии с -m multiport --[ds]ports ... Да, как-то можно. На выбор: 1/ "цикл на баше"(тм) 2/ генератор правил для, который умеет... 3/ ipset 4/ iptables 1.4.5+ 5/ ... ...google.ru + iptables несколько адресов site:opennet.ru
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Несколько адресов в одном правиле iptables"		+/–
	Сообщение от Аноним (??) on 27-Окт-09, 21:34
	... 6. перекомпилять ядро и iptables для использования конструкции iprange 7. использовать другой firewall
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Несколько адресов в одном правиле iptables"		+/–
	Сообщение от Sugar (ok) on 29-Окт-09, 17:33
	>Да, как-то можно. На выбор: > >1/ "цикл на баше"(тм) >2/ генератор правил для, который умеет... >3/ ipset >4/ iptables 1.4.5+ >5/ ... Спасибо за совет, почитал про ipset, кажись то что нужно. Но правда еще не пробовал.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Несколько адресов в одном правиле iptables"		+/–
Сообщение от StreSS.t on 27-Окт-09, 22:16
sudo iptables -I INPUT -m iprange --src-range 192.168.0.100-192.168.0.200 -j DROP Дальше играемся параметрами ЗЫ Debian GNU/Linux squeeze/sid
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Несколько адресов в одном правиле iptables"		+/–
	Сообщение от Andrey Mitrofanov on 29-Окт-09, 09:39
	>sudo iptables -I INPUT -m iprange --src-range 192.168.0.100-192.168.0.200 -j DROP >Дальше играемся параметрами Поиграйтесь с параметрами для получения "-s ! 1.1.1.1,2.2.2.2", очень прошу.... --src-range 1.1.1.1-2.2.2.2 ! --src-range 1.1.1.2-2.2.2.1 !?? %))) И в Debian Lenny с 2.6.26 и 1.4.4 - iprange присутствует, судя по .../kernel/net/netfilter/xt_iprange.ko и соотв.man-у.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Несколько адресов в одном правиле iptables"		+/–
	Сообщение от vasya (??) on 29-Окт-09, 10:41
	я б сделал так iptables -N BAD_ADDRESS iptables -A BAD_ADDRESS -s 1.1.1.1 -j DROP iptables -A BAD_ADDRESS -s 2.2.2.2 -j DROP iptables -A BAD_ADDRESS -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j BAD_ADDRESS
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Несколько адресов в одном правиле iptables"		+/–
	Сообщение от Sugar (ok) on 29-Окт-09, 17:31
	>я б сделал так > >iptables -N BAD_ADDRESS >iptables -A BAD_ADDRESS -s 1.1.1.1 -j DROP >iptables -A BAD_ADDRESS -s 2.2.2.2 -j DROP >iptables -A BAD_ADDRESS -j ACCEPT > >iptables -A INPUT -p tcp --dport 80 -j BAD_ADDRESS Дело в том, что эти адреса как раз должны иметь доступ к маршрутизатору. А так выходит что им доступ запрещен... Я пока особо не думал, но походу средствами только iptables это довольно сложно сделать. Нужно ipset глянуть, попробовать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Несколько адресов в одном правиле iptables"		+/–
	Сообщение от vasya (??) on 29-Окт-09, 18:27
	>[оверквотинг удален] >>iptables -A BAD_ADDRESS -s 1.1.1.1 -j DROP >>iptables -A BAD_ADDRESS -s 2.2.2.2 -j DROP >>iptables -A BAD_ADDRESS -j ACCEPT >> >>iptables -A INPUT -p tcp --dport 80 -j BAD_ADDRESS > >Дело в том, что эти адреса как раз должны иметь доступ к >маршрутизатору. А так выходит что им доступ запрещен... >Я пока особо не думал, но походу средствами только iptables это довольно >сложно сделать. Нужно ipset глянуть, попробовать. :) тогда наоборот iptables -N GOOD_ADDRESS iptables -A GOOD_ADDRESS -s 1.1.1.1 -j ACCEPT iptables -A GOOD_ADDRESS -s 2.2.2.2 -j ACCEPT iptables -A GOOD_ADDRESS -j DROP iptables -A INPUT -p tcp --dport 80 -j GOOD_ADDRESS
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору