Изпечатай

[zax]

Проблема ми е следния искам да огранича достъпа на един PC от мрежата за http към сървъра да кажеме. Аз опитва следното.


iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn

Логично би било тука да го дропне но пак нестава
( също тека и ако не се исползва аргумента --source-port 80, пак би трябвало да стане, защото използвам флаг --syn)


Опитах и това

iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn -j DROP

И това неработи... Помислих си дане съм объркал веригите нещо и опитах с всички и пак нестава ... нещо немога да разбера къде бъркам за това помогне моля....

[zax]

Значи разбрах как да го направя.

iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 -j DROP

iptables -A INPUT -p TCP --destination-port 80 -s 90.0.0.2 -j DROP

тека затварям исцяло 80ти порт за 90.0.0.2... и практически това ми трябва но идеята ми е някои може ли да ми даде правилен ред със --syn

мисля че трябва да изглежда тека обаче пак нестава...

******* -p TCP -s 90.0.0.2 --syn

[ivanatora]

Аз не разбрах, за какво ти е да ограничаваш само SYN пакети? Нали така работи както искаш.

[zarhi]

Цитат (zax @ Юни 29 2005,09:06)

Проблема ми е следния искам да огранича достъпа на един PC от мрежата за http към сървъра да кажеме. Аз опитва следното. iptables -A INPUT -p TCP --source-port 80 -s 90.0.0.2 --syn Логично би било тука да го дропне но пак нестава

Логичното е тоя ред нищо да не направи. Source порта от който 90.0.0.2 иницира конекция към http сървъра е случаен и обикновенно е > 1023!

Логичното в случая е следното:

iptables -N HTTP_DENY
iptables -I INPUT 1 -p tcp --dport 80 -j HTTP_DENY

след което слагаш в HTTP_DENY всички, които НЕ желаеш да имат достъп, примерно така:

iptables -A HTTP_DENY -p tcp -s 90.0.0.2 -j REJECT --reject-with tcp-reset

Може да се ползва и -j DROP естествено, но видимия резултат при клиента ще е по-различен и доста по-дразнещ за "клиента" '>