Skocz do zawartości

Problem Z Iptables


neo_fox

Rekomendowane odpowiedzi

Witam,

 

staram się zablokować pojedynczy adres IP:

# iptables -A INPUT -s 123.456.78.9 -j REJECT

 

i mimo że ipatbles twierdzi że ten adres jest zablokowany nadal mogę z tego hosta łączyć się z serwerem (Apache/SSH).

 

reszta konfiguracji wygląda w ten sposób:

 

cat iptables
# Generated by iptables-save v1.3.5 on Wed May  7 09:56:22 2008
*nat
:PREROUTING ACCEPT [575:34666]
:POSTROUTING ACCEPT [207:33510]
:OUTPUT ACCEPT [207:33510]
COMMIT
# Completed on Wed May  7 09:56:22 2008
# Generated by iptables-save v1.3.5 on Wed May  7 09:56:22 2008
*mangle
:PREROUTING ACCEPT [16290:2614427]
:INPUT ACCEPT [16290:2614427]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [21151:21739354]
:POSTROUTING ACCEPT [21151:21739354]
COMMIT
# Completed on Wed May  7 09:56:22 2008
# Generated by iptables-save v1.3.5 on Wed May  7 09:56:22 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [22437:22958990]
:RH-Firewall-1-INPUT - [0:0]
[17338:2814385] -A INPUT -j RH-Firewall-1-INPUT 
[0:0] -A INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A FORWARD -j RH-Firewall-1-INPUT 
[298:60074] -A RH-Firewall-1-INPUT -i lo -j ACCEPT 
[15:840] -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p esp -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p ah -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT 
[16260:2705592] -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
[1:164] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 75 -j ACCEPT 
[32:3575] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 62613 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT 
[603:36311] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 
[3:180] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
[126:7649] -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Wed May  7 09:56:22 2008

 

na czy może polegać problem?

 

Pozdrawiam,

Neo

Odnośnik do komentarza
Udostępnij na innych stronach

i mimo że ipatbles twierdzi że ten adres jest zablokowany
Jak sprawdzasz to "twierdzenie"?

[17338:2814385] -A INPUT -j RH-Firewall-1-INPUT

[0:0] -A INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable

Nie jestem pewien, ale tu chyba jest tak, że łańcuch "INPUT" jest przekierowany na nowo utworzony łańcuch "RH-Firewall-1-INPUT" i następująca po nim regułka dot. łańcucha INPUT jest ignorowana. Spróbuj w poleceniu blokującym dostęp do serwera dla IP 141.100.40.65 zmienić INPUT na RH-Firewall-1-INPUT.

Poza tym jak już nie chcesz z tym IP gadać, to chyba lepiej zamiast "-j REJECT --reject-with icmp-port-unreachable" dać "-j DROP" - ciche i skuteczne.

Odnośnik do komentarza
Udostępnij na innych stronach

Jak sprawdzasz to "twierdzenie"?

sprawdzam to może dużo powiedziane. :rolleyes:

iptables -L | grep 141.100.40.65

 

Teraz mam tak:

 cat iptables
# Generated by iptables-save v1.3.5 on Wed May  7 13:53:25 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8211:9046271]
:RH-Firewall-1-INPUT - [0:0]
[5853:685021] -A INPUT -j RH-Firewall-1-INPUT 
[0:0] -A FORWARD -j RH-Firewall-1-INPUT 
[0:0] -A RH-Firewall-1-INPUT -i lo -j ACCEPT 
[4:224] -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p esp -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p ah -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT 
[5554:662642] -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
[1:60] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 75 -j ACCEPT 
[1:89] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 62613 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT 
[228:13656] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 
[4:216] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
[61:8134] -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 
[0:0] -A RH-Firewall-1-INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable 
COMMIT
# Completed on Wed May  7 13:53:25 2008

 

w sumie to nie kapuje dlaczego:

[0:0] -A RH-Firewall-1-INPUT -s 141.100.40.65 -j REJECT --reject-with icmp-port-unreachable

 

jesli dodałem poleceniem:

iptables -A RH-Firewall-1-INPUT -s 141.100.40.65 -j REJECT && service iptables save

 

sprawdzam cały czas z hosta (141.100.40.65) w ten sposób:

suski@stud1:~$ GET -ds sigsiu.net
200 OK

 

:lammer:

Odnośnik do komentarza
Udostępnij na innych stronach

Zaraz... A czy to nie jest w druga stronę ;) Przecież to serwer odpowiada więc raczej zabronic należy serwerowi robić OUTPUT na docelowy 141.100.40.65. To chyba będzie coś w rodzaju:

iptables -A OUTPUT  -d 141.100.40.65 -j REJECT

A jeszcze ciszej będzie w sieci jak zamiast REJECT będzie DROP.

Odnośnik do komentarza
Udostępnij na innych stronach

Zaraz... A czy to nie jest w druga stronę ;) Przecież to serwer odpowiada więc raczej zabronic należy serwerowi robić OUTPUT na docelowy 141.100.40.65. To chyba będzie coś w rodzaju:

iptables -A OUTPUT  -d 141.100.40.65 -j REJECT

A jeszcze ciszej będzie w sieci jak zamiast REJECT będzie DROP.

 

 

Niestety też nie działa.

Poza tym w dokumentacji iptables podane jest tak jak napisałem powyżej.

Ale za cholere nie działa :lammer:

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...