Изпечатай

[dvbb]

Здравейте
Опитвам се да блокирам даден сервиз между маскираните IP-та.
Постановката е следната , локална мрежа с 2 DNS-a единя на Gate другуя на друго PC от мрежата.
iptables -I INPUT -p tcp -s 192.168.0.3 --dport 53 -j DROP 
iptables -I INPUT -p udp -s 192.168.0.3 --dport 53 -j DROP -- така му режа достъпа до GW
iptables -I FORWARD -p tcp -s 192.168.0.3 --dport 53 -J DROP -- така примерно му режа достъпа до 53 порт самоче към IP-тата в Internet

Идеята е да отрежа достъпа на 192.168.0.3 до порт 53 на IP 192.168.0.5

[victim70]

Здравейте
Опитвам се да блокирам даден сервиз между маскираните IP-та.
Постановката е следната , локална мрежа с 2 DNS-a единя на Gate другуя на друго PC от мрежата.
iptables -I INPUT -p tcp -s 192.168.0.3 --dport 53 -j DROP 
iptables -I INPUT -p udp -s 192.168.0.3 --dport 53 -j DROP -- така му режа достъпа до GW
iptables -I FORWARD -p tcp -s 192.168.0.3 --dport 53 -J DROP -- така примерно му режа достъпа до 53 порт самоче към IP-тата в Internet

Идеята е да отрежа достъпа на 192.168.0.3 до порт 53 на IP 192.168.0.5

Какъв е проблема, по този начин наистина ги режеш заявките към порт 53 от компютър с IP 192.168.0.3, ако това е изпълнено на компютър с IP192.168.0.5 или нещо не се получава. Дай по ясно описание на мрежата (най-добре картинка), и къде слагаш правилата.

Това нещо:

Код:

iptables -I INPUT -p tcp -s 192.168.0.3 --dport 53 -j DROP  
iptables -I INPUT -p udp -s 192.168.0.3 --dport 53 -j DROP 

Май е по добре да се смени с това:

Код:

iptables -I INPUT -s 192.168.0.3 --dport 53 -j DROP

[gat3way]

Поради каква причина трафика от 192.168.0.5 до 192.168.0.3 минава през твоя рутер, че да филтрираш пакети там?

[VladSun]

Поради каква причина трафика от 192.168.0.5 до 192.168.0.3 минава през твоя рутер, че да филтрираш пакети там?

Може маската да му е 29/30/31

Идеята на gat3way е, че за адреси, които са от "субмрежата", машината няма да се обръща към gateway-а, а ще си праща заявките директно към тях.

[victim70]

Нали за това съм писал да даде картинка на мрежата, изобщо така поставен въпроса е много неясен. Нито боба нито кристалното кълбо ми казаха каква е мрежата и как е устроена

[VladSun]

Въпросите не са към теб, victim70 

[gat3way]

29 не може да е

[VladSun]

29 не може да е

Хвана ме

[gat3way]

Обаче аз не съм прав, може С proxyarp...само дето ще е някакво нечувано малоумна конфигурация

[VladSun]

Може, може
Ама чак пък "нечувано малоумна конфигурация" - случвало ми се е прекалено често

[victim70]

29 не може да е

/offtopic
а може да е 192.168.ххх.ххх/4 (netmask 240.0.0.0) - и после ме питат що някои сайтове не излизали да звънна на ....(доставчика на интернет)  (действителен случай на Вин машина настроен)

[gat3way]

Може, може
Ама чак пък "нечувано малоумна конфигурация" - случвало ми се е прекалено често

Ами...ще трябва да вдигнеш на единия интерфейс на рутера 192.168.0.1/30, на другия 192.168.0.6/30 и на клиентите да им сложиш /29 маските, щото иначе нема да се оправи forwarding-a според мен. С такъв allocation на адресно пространство, ще можеш да връзваш по един хост на всеки интерфейс.

Ма всъщност май няма да стане, щото при това положение не знам дали 192.168.0.3/30 може да се дава на хоста, требва да се води broadcast адрес.

А може и аз да бъркам, наум тези сметки не се правят добре

[VladSun]

Според мен можеш само да добавиш единичен host на друг интерфейс на рутера и да е достижим без да пипаш клиентските машини.

[VladSun]

Код

GeSHi (Bash):
root@ubuntu:/home/vladsun# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     2      0        0 wlan0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0
root@ubuntu:/home/vladsun# route add -host 192.168.1.50 dev eth1
root@ubuntu:/home/vladsun# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.50    0.0.0.0         255.255.255.255 UH    0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     2      0        0 wlan0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0
 

[victim70]

Може, може
Ама чак пък "нечувано малоумна конфигурация" - случвало ми се е прекалено често

Ами...ще трябва да вдигнеш на единия интерфейс на рутера 192.168.0.1/30, на другия 192.168.0.6/30 и на клиентите да им сложиш /29 маските, щото иначе нема да се оправи forwarding-a според мен. С такъв allocation на адресно пространство, ще можеш да връзваш по един хост на всеки интерфейс.

Ма всъщност май няма да стане, щото при това положение не знам дали 192.168.0.3/30 може да се дава на хоста, требва да се води broadcast адрес.

А може и аз да бъркам, наум тези сметки не се правят добре

Съжалявам ама не се бъркаш, с тази настройка се зарива с 2 broadcast адрес 192.168.0.3 , 192.168.0.7 ако не са и 3