neo_fox Napisano Maj 7, 2008 Zgłoszenie Share Napisano Maj 7, 2008 Witam, staram się zablokować pojedynczy adres IP: # iptables -A INPUT -s 123.456.78.9 -j REJECT i mimo że ipatbles twierdzi że ten adres jest zablokowany nadal mogę z tego hosta łączyć się z serwerem (Apache/SSH). reszta konfiguracji wygląda w ten sposób: cat iptables # Generated by iptables-save v1.3.5 on Wed May 7 09:56:22 2008 *nat :PREROUTING ACCEPT [575:34666] :POSTROUTING ACCEPT [207:33510] :OUTPUT ACCEPT [207:33510] COMMIT # Completed on Wed May 7 09:56:22 2008 # Generated by iptables-save v1.3.5 on Wed May 7 09:56:22 2008 *mangle :PREROUTING ACCEPT [16290:2614427] :INPUT ACCEPT [16290:2614427] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [21151:21739354] :POSTROUTING ACCEPT [21151:21739354] COMMIT # Completed on Wed May 7 09:56:22 2008 # Generated by iptables-save v1.3.5 on Wed May 7 09:56:22 2008 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [22437:22958990] :RH-Firewall-1-INPUT - [0:0] [17338:2814385] -A INPUT -j RH-Firewall-1-INPUT [0:0] -A INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable [0:0] -A FORWARD -j RH-Firewall-1-INPUT [298:60074] -A RH-Firewall-1-INPUT -i lo -j ACCEPT [15:840] -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p esp -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p ah -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT [16260:2705592] -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [1:164] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 75 -j ACCEPT [32:3575] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 62613 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT [603:36311] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT [3:180] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT [126:7649] -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Wed May 7 09:56:22 2008 na czy może polegać problem? Pozdrawiam, Neo Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Maj 7, 2008 Zgłoszenie Share Napisano Maj 7, 2008 i mimo że ipatbles twierdzi że ten adres jest zablokowanyJak sprawdzasz to "twierdzenie"? [17338:2814385] -A INPUT -j RH-Firewall-1-INPUT [0:0] -A INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable Nie jestem pewien, ale tu chyba jest tak, że łańcuch "INPUT" jest przekierowany na nowo utworzony łańcuch "RH-Firewall-1-INPUT" i następująca po nim regułka dot. łańcucha INPUT jest ignorowana. Spróbuj w poleceniu blokującym dostęp do serwera dla IP 141.100.40.65 zmienić INPUT na RH-Firewall-1-INPUT. Poza tym jak już nie chcesz z tym IP gadać, to chyba lepiej zamiast "-j REJECT --reject-with icmp-port-unreachable" dać "-j DROP" - ciche i skuteczne. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
neo_fox Napisano Maj 7, 2008 Autor Zgłoszenie Share Napisano Maj 7, 2008 Jak sprawdzasz to "twierdzenie"? sprawdzam to może dużo powiedziane. iptables -L | grep 141.100.40.65 Teraz mam tak: cat iptables # Generated by iptables-save v1.3.5 on Wed May 7 13:53:25 2008 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [8211:9046271] :RH-Firewall-1-INPUT - [0:0] [5853:685021] -A INPUT -j RH-Firewall-1-INPUT [0:0] -A FORWARD -j RH-Firewall-1-INPUT [0:0] -A RH-Firewall-1-INPUT -i lo -j ACCEPT [4:224] -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p esp -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p ah -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT [5554:662642] -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [1:60] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 75 -j ACCEPT [1:89] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 62613 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT [228:13656] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT [0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT [4:216] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT [61:8134] -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited [0:0] -A RH-Firewall-1-INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable COMMIT # Completed on Wed May 7 13:53:25 2008 w sumie to nie kapuje dlaczego: [0:0] -A RH-Firewall-1-INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable jesli dodałem poleceniem: iptables -A RH-Firewall-1-INPUT -s 141.100.40.65 -j REJECT && service iptables save sprawdzam cały czas z hosta (141.100.40.65) w ten sposób: suski@stud1:~$ GET -ds sigsiu.net 200 OK :lammer: Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Maj 7, 2008 Zgłoszenie Share Napisano Maj 7, 2008 Zaraz... A czy to nie jest w druga stronę Przecież to serwer odpowiada więc raczej zabronic należy serwerowi robić OUTPUT na docelowy 141.100.40.65. To chyba będzie coś w rodzaju: iptables -A OUTPUT -d 141.100.40.65 -j REJECT A jeszcze ciszej będzie w sieci jak zamiast REJECT będzie DROP. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
neo_fox Napisano Maj 7, 2008 Autor Zgłoszenie Share Napisano Maj 7, 2008 Zaraz... A czy to nie jest w druga stronę Przecież to serwer odpowiada więc raczej zabronic należy serwerowi robić OUTPUT na docelowy 141.100.40.65. To chyba będzie coś w rodzaju: iptables -A OUTPUT -d 141.100.40.65 -j REJECT A jeszcze ciszej będzie w sieci jak zamiast REJECT będzie DROP. Niestety też nie działa. Poza tym w dokumentacji iptables podane jest tak jak napisałem powyżej. Ale za cholere nie działa :lammer: Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Arabski Napisano Maj 8, 2008 Zgłoszenie Share Napisano Maj 8, 2008 Wstaw tą regułę jako pierwszą w łańcuchu RH_Firewall... Np. po [0:0] -A RH-Firewall-1-INPUT -i lo -j ACCEPT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
neo_fox Napisano Maj 8, 2008 Autor Zgłoszenie Share Napisano Maj 8, 2008 Wstaw tą regułę jako pierwszą w łańcuchu RH_Firewall... dokładnie http://www.centos.org/modules/newbb/viewto...45&forum=42 dzięki serdeczne Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się