Титла: httpПроблем с iptables
Публикувано от: zax в Jun 29, 2005, 08:06
Проблема ми е следния искам да огранича достъпа на един PC от мрежата за http към сървъра да кажеме. Аз опитва следното.
iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn
Логично би било тука да го дропне но пак нестава
( също тека и ако не се исползва аргумента --source-port 80, пак би трябвало да стане, защото използвам флаг --syn)
Опитах и това
iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn -j DROP
И това неработи... Помислих си дане съм объркал веригите нещо и опитах с всички и пак нестава ... нещо немога да разбера къде бъркам за това помогне моля....
iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn
Логично би било тука да го дропне но пак нестава
( също тека и ако не се исползва аргумента --source-port 80, пак би трябвало да стане, защото използвам флаг --syn)
Опитах и това
iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn -j DROP
И това неработи... Помислих си дане съм объркал веригите нещо и опитах с всички и пак нестава ... нещо немога да разбера къде бъркам за това помогне моля....
Титла: httpПроблем с iptables
Публикувано от: zax в Jun 29, 2005, 08:50
Значи разбрах как да го направя.
iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 -j DROP
iptables -A INPUT -p TCP --destination-port 80 -s 90.0.0.2 -j DROP
тека затварям исцяло 80ти порт за 90.0.0.2... и практически това ми трябва но идеята ми е някои може ли да ми даде правилен ред със --syn
мисля че трябва да изглежда тека обаче пак нестава...
******* -p TCP -s 90.0.0.2 --syn
iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 -j DROP
iptables -A INPUT -p TCP --destination-port 80 -s 90.0.0.2 -j DROP
тека затварям исцяло 80ти порт за 90.0.0.2... и практически това ми трябва но идеята ми е някои може ли да ми даде правилен ред със --syn
мисля че трябва да изглежда тека обаче пак нестава...
******* -p TCP -s 90.0.0.2 --syn
Титла: httpПроблем с iptables
Публикувано от: ivanatora в Jun 29, 2005, 16:02
Аз не разбрах, за какво ти е да ограничаваш само SYN пакети? Нали така работи както искаш.
Титла: httpПроблем с iptables
Публикувано от: zarhi в Jun 30, 2005, 09:30
| Цитат (zax @ Юни 29 2005,09:06) |
| Проблема ми е следния искам да огранича достъпа на един PC от мрежата за http към сървъра да кажеме. Аз опитва следното. iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn Логично би било тука да го дропне но пак нестава |
Логичното е тоя ред нищо да не направи. Source порта от който 90.0.0.2 иницира конекция към http сървъра е случаен и обикновенно е > 1023!
Логичното в случая е следното:
iptables -N HTTP_DENY
iptables -I INPUT 1 -p tcp --dport 80 -j HTTP_DENY
след което слагаш в HTTP_DENY всички, които НЕ желаеш да имат достъп, примерно така:
iptables -A HTTP_DENY -p tcp -s 90.0.0.2 -j REJECT --reject-with tcp-reset
Може да се ползва и -j DROP естествено, но видимия резултат при клиента ще е по-различен и доста по-дразнещ за "клиента"
