замени -A на -IOriginally Posted by Kostik_9_let
Code:iptables -I INPUT -s 91.219.194.29 -j DROP
Senior Member
замени -A на -I
Code:iptables -I INPUT -s 91.219.194.29 -j DROP
tempik aka Mirage-net
Junior Member
Сделал, но результат тот же.
Записи добавились после строк
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [4001531:252455545]
:OUTPUT ACCEPT [1401727:227392541]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
Senior Member
Если после этих записей стоит
iptables -I INPUT -s 91.219.194.29 -j DROP
то адрес 91.219.194.29 не будет пинговаться с РОУТЕРА (при условии что остальные строки остались без изменений) ... Может Вам имеет смысл разобраться для чего вообще применяют правила iptables??? Например почитать http://www.opennet.ru/docs/RUS/iptables/
Цепочка INPUT это не все что идет ИЗВНЕ .... Если на пальцах, то представьте роутер в виде стакана ... Наливаем воду в него это цепочка INPUT. Выливаем воду из него это цепочка OUTPUT. А вот солнечный луч что проходит сквозь него Вам в глаз это цепочка FORWARD ... Где-то так (сорри за образность)
tempik aka Mirage-net
Senior Member
пытаюсь заблокировать доступ из локалки к определенному IP, подскажите что делаю не так :
iptables -A OUTPUT -d 1.2.3.4 -j DROP
после этого с клиентского ПК :
ping 1.2.3.4
все равно пинг проходит
Member
Наверное стоит поставить -A INPUT, и кстати, если не указан протокол, то если не изменяет мне мой склероз, то правило обрабатывает TCP/UDP соединения, но не обрабатывает ICMP.
ASUS RT-N66U: 3.0.0.3.113 + Entware
Senior Member
попробовал разные варианты :
iptables -I INPUT -d 1.2.3.4 -j DROP
iptables -A INPUT -d 1.2.3.4 -j DROP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
правила видно через iptables -L -n , но никакого эффекта нет (проверяю tcp через httping)
все равно остается доступ к этим ip из локалки
Last edited by bmenee; 02-08-2012 at 08:04.
Member
а если добавить
iptables -t NAT -A INPUT -d 1.2.3.4 -j DROP (или как там эту таблицу зовут, просто девайса под рукой нет ...)
ASUS RT-N66U: 3.0.0.3.113 + Entware
Senior Member
Forum Guru
iptables работает между wan-lan, внутри lan пакеты проходят через коммутатор.
потому вы можете:
- запретить доступ избранным IP адресам к WAN
- вы можете запретить доступ к устройству устройствам с определенными MAC адресами или запретить отсылать пакеты на определенные MAC адреса - но этим занимается не iptables.
Junior Member
Вопрос по iptables
Почему при добавлении следующего правила (iptables -I INPUT 1 -i vlan1 -j DROP или iptables -I INPUT 1 -i vlan1 -m conntrack -ctstate NEW -j DROP) клиенты по проводу работают, а Wi-Fi отваливается? В первом случае подсоединяется, но не открывает страницы, а во втором - даже не удается подсоединиться? Просто я хочу заблокировать точку доступа на вход по данному интерфейсу, который в данном случае имеет внешний IP. Заранее спасибо!
Forum Guru
Last edited by ConstAntz; 06-02-2013 at 18:06. Reason: грубая очепятка
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Senior Member
Есть ли способ через морду разрешить произвольный порт, а не только ftp/ssh ?
Или только через post-firewall?
У меня на 514 udp порту крутится syslog-ng.
Junior Member
Тогда как все-таки написать правило так, чтобы Wi-Fi не зарубался? И почему тогда этому интерфейсу присваевается WAN-овский IP?
Forum Guru
отредактировал предыдущее сообщение.
С учетом предыдущего, мысль не совсем ясна. Распишите подробнее. Из того, что написано - самое простое=отключить в морде вайфай, или там-же, поставить фильтр по маку.Просто я хочу заблокировать точку доступа на вход по данному интерфейсу, ...
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Junior Member
Нет, вайфай не хочется отключать. Про мак-фильтр я тоже знаю. Конкретизирую: я хочу заблокировать те пакеты, которые идут на роутер (именно на роутер) из внешней сетки, которая, насколько я понимаю, сидит на vlan1! Короче, закрыть все порты для внешней сетки!
Posting Permissions
Reply With Quote