Page 35 of 36 FirstFirst ... 2533343536 LastLast
Results 511 to 525 of 532

Thread: Настройка IPTables

  1. #511
    попробовал разные варианты :

    iptables -I INPUT -d 1.2.3.4 -j DROP
    iptables -A INPUT -d 1.2.3.4 -j DROP
    iptables -A OUTPUT -d 1.2.3.4 -j DROP

    правила видно через iptables -L -n , но никакого эффекта нет (проверяю tcp через httping)
    все равно остается доступ к этим ip из локалки
    Last edited by bmenee; 02-08-2012 at 08:04.

  2. #512
    Join Date
    Feb 2012
    Location
    Украина, Киев
    Posts
    80
    а если добавить
    iptables -t NAT -A INPUT -d 1.2.3.4 -j DROP (или как там эту таблицу зовут, просто девайса под рукой нет ...)
    ASUS RT-N66U: 3.0.0.4.372.30_3 (Merlin build) + Entware

  3. #513
    Quote Originally Posted by bmenee View Post
    попробовал разные варианты :

    iptables -I INPUT -d 1.2.3.4 -j DROP
    iptables -A INPUT -d 1.2.3.4 -j DROP
    iptables -A OUTPUT -d 1.2.3.4 -j DROP

    правила видно через iptables -L -n , но никакого эффекта нет (проверяю tcp через httping)
    все равно остается доступ к этим ip из локалки
    Посмотрите на мое сообщение и попробуйте сделать правильный вывод ... Да и вот это изучить не помешает ...
    tempik aka Mirage-net

  4. #514
    Join Date
    Feb 2008
    Location
    Dniepropetrovsk, Ukraine
    Posts
    1,527
    Quote Originally Posted by bmenee View Post
    пытаюсь заблокировать доступ из локалки к определенному IP, подскажите что делаю не так :

    iptables -A OUTPUT -d 1.2.3.4 -j DROP

    после этого с клиентского ПК :

    ping 1.2.3.4

    все равно пинг проходит
    iptables работает между wan-lan, внутри lan пакеты проходят через коммутатор.
    потому вы можете:
    - запретить доступ избранным IP адресам к WAN
    - вы можете запретить доступ к устройству устройствам с определенными MAC адресами или запретить отсылать пакеты на определенные MAC адреса - но этим занимается не iptables.

  5. #515

    Question Вопрос по iptables

    Почему при добавлении следующего правила (iptables -I INPUT 1 -i vlan1 -j DROP или iptables -I INPUT 1 -i vlan1 -m conntrack -ctstate NEW -j DROP) клиенты по проводу работают, а Wi-Fi отваливается? В первом случае подсоединяется, но не открывает страницы, а во втором - даже не удается подсоединиться? Просто я хочу заблокировать точку доступа на вход по данному интерфейсу, который в данном случае имеет внешний IP. Заранее спасибо!

  6. #516
    Join Date
    Jan 2011
    Location
    Нижний Новгород
    Posts
    543
    Quote Originally Posted by sanc_6 View Post
    Почему при добавлении следующего правила (iptables -I INPUT 1 -i vlan1 -j DROP или iptables -I INPUT 1 -i vlan1 -m conntrack -ctstate NEW -j DROP) клиенты по проводу работают, а Wi-Fi отваливается?
    Потому что vlan1, как раз и отвечает за вайфай клиентов, а vlan0 - за проводных. С таблицами можно познакомиться там.

    Простите! (заметил спустя 3 часа), вместо vlan имелось ввиду eth
    Last edited by ConstAntz; 06-02-2013 at 18:06. Reason: грубая очепятка
    DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163

  7. #517
    Join Date
    Jun 2007
    Location
    Санкт-Петербург
    Posts
    244

    Прошивка Олега: iptables -I INPUT через морду

    Есть ли способ через морду разрешить произвольный порт, а не только ftp/ssh ?
    Или только через post-firewall?
    У меня на 514 udp порту крутится syslog-ng.

  8. #518

    Question

    Quote Originally Posted by ConstAntz View Post
    Потому что vlan1, как раз и отвечает за вайфай клиентов, а vlan0 - за проводных. С таблицами можно познакомиться там.
    Тогда как все-таки написать правило так, чтобы Wi-Fi не зарубался? И почему тогда этому интерфейсу присваевается WAN-овский IP?

  9. #519
    Join Date
    Jan 2011
    Location
    Нижний Новгород
    Posts
    543
    Quote Originally Posted by sanc_6 View Post
    Тогда как все-таки написать правило так, чтобы Wi-Fi не зарубался?
    отредактировал предыдущее сообщение.
    Просто я хочу заблокировать точку доступа на вход по данному интерфейсу, ...
    С учетом предыдущего, мысль не совсем ясна. Распишите подробнее. Из того, что написано - самое простое=отключить в морде вайфай, или там-же, поставить фильтр по маку.
    DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163

  10. #520
    Quote Originally Posted by ConstAntz View Post
    отредактировал предыдущее сообщение.


    С учетом предыдущего, мысль не совсем ясна. Распишите подробнее. Из того, что написано - самое простое=отключить в морде вайфай, или там-же, поставить фильтр по маку.
    Нет, вайфай не хочется отключать. Про мак-фильтр я тоже знаю. Конкретизирую: я хочу заблокировать те пакеты, которые идут на роутер (именно на роутер) из внешней сетки, которая, насколько я понимаю, сидит на vlan1! Короче, закрыть все порты для внешней сетки!

  11. #521
    Join Date
    Jan 2011
    Location
    Нижний Новгород
    Posts
    543
    Quote Originally Posted by sanc_6 View Post
    Нет, вайфай не хочется отключать. Про мак-фильтр я тоже знаю. Конкретизирую: я хочу заблокировать те пакеты, которые идут на роутер (именно на роутер) из внешней сетки, которая, насколько я понимаю, сидит на vlan1! Короче, закрыть все порты для внешней сетки!
    Неназойливую рекламу у своих вайфай клиентов блокирую правкой /usr/local/etc/hosts (flashfs commit && flashfs save на конце)

    Code:
    [root@root]$ cat /usr/local/etc/hosts
    127.0.0.1 media.admob.com pagead.l.doubleclick.net csi.gstatic.com ad.leadboltapps.net api.airpush.com content.leadbolt.
    net ad1rotator.com s.mobclix.com
    А второе правило не срабатывает, потому что клиент отправил запрос и роутер обязан пропустить ответ обратно.
    DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163

  12. #522
    Quote Originally Posted by ConstAntz View Post
    Неназойливую рекламу у своих вайфай клиентов блокирую правкой /usr/local/etc/hosts (flashfs commit && flashfs save на конце)

    Code:
    [root@root]$ cat /usr/local/etc/hosts
    127.0.0.1 media.admob.com pagead.l.doubleclick.net csi.gstatic.com ad.leadboltapps.net api.airpush.com content.leadbolt.
    net ad1rotator.com s.mobclix.com
    А второе правило не срабатывает, потому что клиент отправил запрос и роутер обязан пропустить ответ обратно.
    А для чего этот файл нужен? Что он делает? Какие адреса туда нужно вписывать? По-умолчанию в прошивке его нет! И как его создать? Попытался поискать по форуму, но почему-то возникает ошибка "Database Error".
    Last edited by sanc_6; 09-02-2013 at 21:15.

  13. Question

    Гхм, у ми обратная задача - разделить (separate) Wi-Fi и LAN, вычитал под DD-WRT аналогичное и собрал такое:

    Code:
    iptables -I INPUT -i eth1 -m state --state NEW -j DROP
    iptables -I FORWARD -i eth1 -o eth0 -j DROP
    iptables -I FORWARD -i eth0 -o eth1 -j DROP
    Однако при запуске -m state --state NEW вываливается, что мол нет такой фитчи Остальные 2 правила принимаются, но не отрабатываются.

  14. #524

    ограничить скорость к socks серверу.

    На роутере стоит socks прокси сервер srelay. К нему разрешён доступ с одного внешнего IP на порт 2013 (vlan1)
    Задача ограничить скорость интернета для внешнего пользователя.
    QOS гонять не хочется ради одного этого правила, да и по iptables не хватит опыта.
    Может кто поможет или подскажет альтернативное решение?
    Нашёл в сети такой пример ограничения доступа к веб серверу, но у меня не получается подстроить под свои нужды

    в правилах прописал следующее:

    /sbin/iptables -N bad_adress
    /sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT
    /sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -j DROP

    /sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.42 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT
    /sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.42 --dport 80 -j DROP

    получилась скорость около 6 кБ/с определял экспериментально при закачке файла с сервера....
    для веб просмотра страниц скорость примерно получается около 900 Б/с
    ну вот, что и требовалось сделать, без всяких там заморочек!!!
    RT-N66U Tomato MIPSR2-093 K26 USB AIO
    QNAP TS-259 Pro+

  15. #525

    Закрыть порт

    Здравствуйте
    Как прописать закрыть какой либо порт?
    Открыть, понятно echo "/usr/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT" >> /usr/local/sbin/post-firewall
    а если наоборот
    unaceept или no accept
    буду признателен если посоветуете литературу
    какая система стоит линукс, какой применяется язык

Page 35 of 36 FirstFirst ... 2533343536 LastLast

Similar Threads

  1. Help with IPTABLES
    By tomv in forum WL-500gP Q&A
    Replies: 1
    Last Post: 14-01-2008, 20:43
  2. Iptables
    By byteZero in forum WL-500g Q&A
    Replies: 2
    Last Post: 07-11-2006, 19:23
  3. How to configure Firewall/iptables
    By samoht in forum WL-500g/WL-500gx Tutorials
    Replies: 3
    Last Post: 14-08-2005, 01:28
  4. iptables vs web interface
    By bomberman in forum WL-500g Q&A
    Replies: 0
    Last Post: 20-05-2005, 08:06
  5. Iptables
    By barsju in forum WL-500g Q&A
    Replies: 15
    Last Post: 01-03-2005, 01:36

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •