|
Титла: iptables опит за блокиране на сервиз Публикувано от: dvbb в Apr 09, 2010, 15:51 Здравейте
Опитвам се да блокирам даден сервиз между маскираните IP-та. Постановката е следната , локална мрежа с 2 DNS-a единя на Gate другуя на друго PC от мрежата. iptables -I INPUT -p tcp -s 192.168.0.3 --dport 53 -j DROP iptables -I INPUT -p udp -s 192.168.0.3 --dport 53 -j DROP -- така му режа достъпа до GW iptables -I FORWARD -p tcp -s 192.168.0.3 --dport 53 -J DROP -- така примерно му режа достъпа до 53 порт самоче към IP-тата в Internet Идеята е да отрежа достъпа на 192.168.0.3 до порт 53 на IP 192.168.0.5 Титла: Re: iptables опит за блокиране на сервиз Публикувано от: victim70 в Apr 09, 2010, 21:51 ЗдравейтеКакъв е проблема, по този начин наистина ги режеш заявките към порт 53 от компютър с IP 192.168.0.3, ако това е изпълнено на компютър с IP192.168.0.5 или нещо не се получава. Дай по ясно описание на мрежата (най-добре картинка), и къде слагаш правилата. Това нещо: Код: iptables -I INPUT -p tcp -s 192.168.0.3 --dport 53 -j DROP Май е по добре да се смени с това: Код: iptables -I INPUT -s 192.168.0.3 --dport 53 -j DROP Титла: Re: iptables опит за блокиране на сервиз Публикувано от: gat3way в Apr 09, 2010, 22:05 Поради каква причина трафика от 192.168.0.5 до 192.168.0.3 минава през твоя рутер, че да филтрираш пакети там?
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: VladSun в Apr 09, 2010, 22:09 Поради каква причина трафика от 192.168.0.5 до 192.168.0.3 минава през твоя рутер, че да филтрираш пакети там?Може маската да му е 29/30/31 ;) Идеята на gat3way е, че за адреси, които са от "субмрежата", машината няма да се обръща към gateway-а, а ще си праща заявките директно към тях. Титла: Re: iptables опит за блокиране на сервиз Публикувано от: victim70 в Apr 09, 2010, 22:21 Нали за това съм писал да даде картинка на мрежата, изобщо така поставен въпроса е много неясен. Нито боба нито кристалното кълбо ми казаха каква е мрежата и как е устроена :)
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: VladSun в Apr 09, 2010, 22:29 Въпросите не са към теб, victim70 [_]3
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: gat3way в Apr 09, 2010, 22:30 29 не може да е :)
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: VladSun в Apr 09, 2010, 22:34 Титла: Re: iptables опит за блокиране на сервиз Публикувано от: gat3way в Apr 09, 2010, 22:37 Обаче аз не съм прав, може :) С proxyarp...само дето ще е някакво нечувано малоумна конфигурация :)
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: VladSun в Apr 09, 2010, 22:40 Може, може :)
Ама чак пък "нечувано малоумна конфигурация" - случвало ми се е прекалено често ;) Титла: Re: iptables опит за блокиране на сервиз Публикувано от: victim70 в Apr 09, 2010, 22:41 29 не може да е :)/offtopic :) а може да е 192.168.ххх.ххх/4 (netmask 240.0.0.0) - и после ме питат що някои сайтове не излизали да звънна на ....(доставчика на интернет) (действителен случай на Вин машина настроен) Титла: Re: iptables опит за блокиране на сервиз Публикувано от: gat3way в Apr 09, 2010, 22:55 Може, може :) Ами...ще трябва да вдигнеш на единия интерфейс на рутера 192.168.0.1/30, на другия 192.168.0.6/30 и на клиентите да им сложиш /29 маските, щото иначе нема да се оправи forwarding-a според мен. С такъв allocation на адресно пространство, ще можеш да връзваш по един хост на всеки интерфейс. Ма всъщност май няма да стане, щото при това положение не знам дали 192.168.0.3/30 може да се дава на хоста, требва да се води broadcast адрес. А може и аз да бъркам, наум тези сметки не се правят добре :) Титла: Re: iptables опит за блокиране на сервиз Публикувано от: VladSun в Apr 09, 2010, 23:11 Според мен можеш само да добавиш единичен host на друг интерфейс на рутера и да е достижим без да пипаш клиентските машини.
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: VladSun в Apr 09, 2010, 23:14 Код
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: victim70 в Apr 09, 2010, 23:15 Съжалявам ама не се бъркаш, с тази настройка се зарива с 2 broadcast адрес 192.168.0.3 , 192.168.0.7 ако не са и 3Може, може :) Титла: Re: iptables опит за блокиране на сервиз Публикувано от: dvbb в Apr 10, 2010, 19:41 Благодаря за насоката , оказа се че , трафика от 3 до 5 не мината през GW. Значи трябва да го прекарам и тогава ще се получи това което търся. Постановката е : мрежа с 2 DNS-a единия на GW другия на друго PC, идеята е като спра интернета на дадено IP да не може да ресолва хостове. Идеята е без да пипам по PC-то с втория DNS.
Титла: Re: iptables опит за блокиране на сервиз Публикувано от: p3tzata_ в Apr 12, 2010, 11:13 dvbb,
Мисля че се опитваш да хванеш риба с голи ръце. Защо не спираш трафика на GW спрямо дадените клиенти (ИП-та), което може да се окаже безмисленно, ако твойте клиенти могат да си сменяват ИП-та. iptables -I FORWARD -s 192.168.0.3 -j DROP iptables -I FORWARD -d 192.168.0.3 -j DROP П.П. Дори да им забраниш да си резолват, напрактика не им режеш достапа до интернет. Титла: Re: iptables опит за блокиране на сервиз Публикувано от: Astor в Apr 12, 2010, 13:16 ...ако твойте клиенти могат да си сменяват ИП-та...Относно смяната на IP адреси на хостове от мрежата, tq може да се ограничи със фиксиране на определени MAC адреси към определените IP с помощта на iptables. |