|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: f0x |
Дата: 06/09/2005 |
Искам да попитам нещо свързано с iptables, в блока си имаме
мрежа сега докарвам интернет с антена и линукс,(нашата мрежа
е 172.168.6.0/24, искам да спра нет-а на цялата мрежа с
iptables и съответно да позволя само на 172.168.6.2,
172.168.63, .... така до 6.10. Някой има ли идея как ще
стане това ?
|
Отговор #1 |
От: f0x |
Дата: 06/09/2005 |
iptables -I FORWARD -s 172.168.6.0/24 -j DROP
iptables -I FORWARD -s 172.168.6.2 -j ACCEPT
iptables -I FORWARD -s 172.168.6.3 -j ACCEPT
ако го направя така дали ще работи коректно ?
|
Отговор #2 |
От: ivan |
Дата: 06/09/2005 |
man iptables
...
...
A firewall rule specifies criteria for a packet, and a
target. If the packet does not match, the next rule in the
chain
is examined; if it does match, then the next rule
is specified by the value of the target, which can be the
name of a
user-defined chain or one of the special values
ACCEPT, DROP, QUEUE, or RETURN.
...
...
|
Отговор #3 |
От: f0x |
Дата: 06/09/2005 |
виж бе човек не разбирам английски за това питам тук, ако
можех да си преведа help-а , нямаше да ви занимавам.
|
Отговор #4 |
От: orfey (orfeybg (a) abv__dot__bg) |
Дата: 06/09/2005 |
arp -s IP MAC
тези който не искаш да имат нет пишеш
arp -s IP 00:11:22:33:44:55 примерно
|
Отговор #5 |
От: ivan |
Дата: 06/09/2005 |
slozhi dropa sled acceptite
|
Отговор #6 |
От: Иполит |
Дата: 06/09/2005 |
оказа се че тъй като напрайш пак не става. И аз си вадих
душат два дена докат се сетя че няма да FORWARD-ва пакетите
от ISP-то
зарад туй тряба да туриш и още едно нещо
начи политиката е
iptables -P FORWARD DROP - тъй фърля сичко дето е за
препращане
iptables -A FORWARD -s 172.168.6.2 -j ACCEPT - тъй препраща
тоя, обаче не препраща от ISP към него
iptables -A FORWARD -m state --state ESTABLISHED -s 0/0 -j
ACCEPT - тъй препраща всичко което е инициирал тоя с
172.168.6.2
|
Отговор #7 |
От: Vatkov |
Дата: 06/09/2005 |
Tova ste ti svarshi rabota s sigurnost. Idejta v iptables e
da razreshish parvo adresite i posle zabranjvash vsicki
ostanali.
iptables -A FORWARD -s 172.168.6.2 -j ACCEPT
iptables -A FORWARD -s 172.168.6.3 -j ACCEPT
iptables -A FORWARD -s 172.168.6.4 -j ACCEPT
iptables -A FORWARD -s 172.168.6.0/24 -j DROP
|
Отговор #8 |
От: Н. Антонов (nikola__at__linux-bg< dot >org) |
Дата: 06/11/2005 |
Обикновено се прави така:
1. Задаваш подразбираща се политика DROP.
2. Разрешаваш с отделни правила само това, което ти трябва.
С една дума:
iptables -P FORWARD DROP
iptables -A FORWARD -s 172.168.6.2 -j ACCEPT
iptables -A FORWARD -s 172.168.6.3 -j ACCEPT
...
|
Отговор #9 |
От: onpoint (onpoint __@__ abv< dot >bg) |
Дата: 06/17/2005 |
остава само да ги пусне6 и в обратната посока:
#адресите които искаш да имат интернет
iptables -A FORWARD -s 172.168.6.2 -j ACCEPT
iptables -A FORWARD -d 172.168.6.2 -j ACCEPT
iptables -A FORWARD -s 172.168.6.3 -j ACCEPT
iptables -A FORWARD -d 172.168.6.3 -j ACCEPT
.....
iptables -A FORWARD -s 172.168.6.10 -j ACCEPT
iptables -A FORWARD -d 172.168.6.10 -j ACCEPT
#забраняваш всички останали
iptables -A FORWARD -j DROP
|
<< ttl (3
) | Qmail въпрос? (4
) >>
|
|
|
|
|