а если добавить
iptables -t NAT -A INPUT -d 1.2.3.4 -j DROP (или как там эту таблицу зовут, просто девайса под рукой нет ...)
попробовал разные варианты :
iptables -I INPUT -d 1.2.3.4 -j DROP
iptables -A INPUT -d 1.2.3.4 -j DROP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
правила видно через iptables -L -n , но никакого эффекта нет (проверяю tcp через httping)
все равно остается доступ к этим ip из локалки
Last edited by bmenee; 02-08-2012 at 09:04.
а если добавить
iptables -t NAT -A INPUT -d 1.2.3.4 -j DROP (или как там эту таблицу зовут, просто девайса под рукой нет ...)
ASUS RT-N66U: 3.0.0.4.372.30_3 (Merlin build) + Entware
iptables работает между wan-lan, внутри lan пакеты проходят через коммутатор.
потому вы можете:
- запретить доступ избранным IP адресам к WAN
- вы можете запретить доступ к устройству устройствам с определенными MAC адресами или запретить отсылать пакеты на определенные MAC адреса - но этим занимается не iptables.
Почему при добавлении следующего правила (iptables -I INPUT 1 -i vlan1 -j DROP или iptables -I INPUT 1 -i vlan1 -m conntrack -ctstate NEW -j DROP) клиенты по проводу работают, а Wi-Fi отваливается? В первом случае подсоединяется, но не открывает страницы, а во втором - даже не удается подсоединиться? Просто я хочу заблокировать точку доступа на вход по данному интерфейсу, который в данном случае имеет внешний IP. Заранее спасибо!
Last edited by ConstAntz; 06-02-2013 at 19:06. Reason: грубая очепятка
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Есть ли способ через морду разрешить произвольный порт, а не только ftp/ssh ?
Или только через post-firewall?
У меня на 514 udp порту крутится syslog-ng.
отредактировал предыдущее сообщение.
С учетом предыдущего, мысль не совсем ясна. Распишите подробнее. Из того, что написано - самое простое=отключить в морде вайфай, или там-же, поставить фильтр по маку.Просто я хочу заблокировать точку доступа на вход по данному интерфейсу, ...
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Неназойливую рекламу у своих вайфай клиентов блокирую правкой /usr/local/etc/hosts (flashfs commit && flashfs save на конце)
А второе правило не срабатывает, потому что клиент отправил запрос и роутер обязан пропустить ответ обратно.Code:[root@root]$ cat /usr/local/etc/hosts 127.0.0.1 media.admob.com pagead.l.doubleclick.net csi.gstatic.com ad.leadboltapps.net api.airpush.com content.leadbolt. net ad1rotator.com s.mobclix.com
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Гхм, у ми обратная задача - разделить (separate) Wi-Fi и LAN, вычитал под DD-WRT аналогичное и собрал такое:
Однако при запуске -m state --state NEW вываливается, что мол нет такой фитчи Остальные 2 правила принимаются, но не отрабатываются.Code:iptables -I INPUT -i eth1 -m state --state NEW -j DROP iptables -I FORWARD -i eth1 -o eth0 -j DROP iptables -I FORWARD -i eth0 -o eth1 -j DROP
RT-N16 на 1.9.2.7-rtn-r4177 + Скрипт "Установка программ для чайника" (Новая редакция) на WD 3.5" 750Gb USB 2.0
На роутере стоит socks прокси сервер srelay. К нему разрешён доступ с одного внешнего IP на порт 2013 (vlan1)
Задача ограничить скорость интернета для внешнего пользователя.
QOS гонять не хочется ради одного этого правила, да и по iptables не хватит опыта.
Может кто поможет или подскажет альтернативное решение?
Нашёл в сети такой пример ограничения доступа к веб серверу, но у меня не получается подстроить под свои нужды
в правилах прописал следующее:
/sbin/iptables -N bad_adress
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -j DROP
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.42 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.42 --dport 80 -j DROP
получилась скорость около 6 кБ/с определял экспериментально при закачке файла с сервера....
для веб просмотра страниц скорость примерно получается около 900 Б/с
ну вот, что и требовалось сделать, без всяких там заморочек!!!
RT-N66U Tomato MIPSR2-093 K26 USB AIO
QNAP TS-259 Pro+
Здравствуйте
Как прописать закрыть какой либо порт?
Открыть, понятно echo "/usr/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT" >> /usr/local/sbin/post-firewall
а если наоборот
unaceept или no accept
буду признателен если посоветуете литературу
какая система стоит линукс, какой применяется язык