Изпечатай

[h7d8]

Здравейте ,опитвам се да блокирам http заявки на определен порт ,но приложението работещо на този порт да не бъде засегнато.Самото приложение си пуска собствен httpd на който искам да забраня достъп-а.Друг вариант е да рестриктна порта с <VirtualHost :port> и .htaccess ,но незнам какво да опиша за directoryindex.При правило:

iptables -A INPUT -p tcp --dport HTTP -j REJECT

ми блокира tcp на порт 80 ,което разбирасе не ми помага.Ще очаквам малко помощ от вас колеги. 

[laskov]

iptables -A INPUT -p tcp --dport 8088 -j REJECT

Ако порта е 8088 и ако съм те разбрал правилно.

[h7d8]

iptables -A INPUT -p tcp --dport 8088 -j REJECT

Ако порта е 8088 и ако съм те разбрал правилно.

Да това правило е точно ,но само когато искам да блокирам tcp заявките на този определен порт,а при мен се иска да бъдат блокирани само http заявките. Да допуска всичко с изключение на http. Прегледах в /etc/protocols ,но не намерих нещо подходящо за -p .

[VladSun]

iptables работи изключително на слоеве 2, 3 и 4 от OSI мрежовия модел. HTTP се намира на слой 8.
T.e. в общия случай, iptables няма как да знае на кой порт ти върви определена услуга.

[peterangelov]

може да опиташ с това - http://l7-filter.sourceforge.net/HOWTO - може да се се наложи да промениш малко iptables & kernel, но получаваш това, което желаеш

[laskov]

Да това правило е точно ,но само когато искам да блокирам tcp заявките на този определен порт,а при мен се иска да бъдат блокирани само http заявките. Да допуска всичко с изключение на http.

Т.е. твоята програма слуша на един и същ порт, към който можеш да се закачиш по http, ftp, ssh,telnet ? Ако е така, то най-доброто е да намериш как тази програма да се конфигурира така, че да не отговаря на http или да разделиш различните протоколи на различни портове и след това да блокираш http. Друг вариант е да ползваш някаква програма - proxy.

[h7d8]

може да опиташ с това - http://l7-filter.sourceforge.net/HOWTO - може да се се наложи да промениш малко iptables & kernel, но получаваш това, което желаеш

В момента работя над това ,което ми предложи @peterangelov. Щом имам резултат ще постна дали е най-правилния начин за решаване на задачата. В интерес на истината мога и сега да си изкажа впечетлението ,но ще изчакам края на компилацията.