Сообщения без ответов | Активные темы


Список форумов » Специализированные форумы » Мир Unix-like систем

Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 8 
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Camel

Member
Статус: Не в сети
Регистрация: 06.05.2004
Откуда: Подмосковье
Я поставил ethernet bridge на входе в домашнюю сетку, пакеты свободно ходят в обе стороны. Но возник вопрос, как отсечь лишние пакеты? Как пропускать во внутреннюю сетку пакеты только для моих машин? Их адреса
172.16.1.11
172.16.2.11
172.16.1.46
172.16.2.46
Поставил iptables-1.3.3, chain'ов никаких нет.
Код:
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Как я понимаю мне нужно создать правило "задерживать все проходящие пакеты кроме направленных к 172.16.1.11, 172.16.2.11..." Так? Я полагал что это правило реализуется командой
Код:
# iptables -A FORWARD -d ! 172.16.1.11,172.16.2.11,172.16.1.46,172.16.2.46 DROP

Но вывод
Код:
Bad argument `DROP'
Try `iptables -h' or 'iptables --help' for more information.

Что не так? Где исправить?
Реклама

Партнер
  Семнадцатый гость

у тебя
# iptables -A FORWARD -d ! 172.16.1.11,172.16.2.11,172.16.1.46,172.16.2.46 DROP
а надо
# iptables -A FORWARD -d ! 172.16.1.11,172.16.2.11,172.16.1.46,172.16.2.46 -j DROP , если ты правильно задумал...
Добавлено спустя 4 минуты, 31 секунду
Семнадцатый гость
хотя кажись вот так через запятую не катит...
делай просто iptables -A FORWARD -d ! 172.16.1.11 -j DROP
-A FORWARD -d ! 172.16.2.11 -j DROP и.т.д. пробуй вобщем :)
  Camel

Member
Статус: Не в сети
Регистрация: 06.05.2004
Откуда: Подмосковье
Спасибо, Семнадцатый гость, но как оказалось задумал я неправильно.
При доваблении правил
Код:
# iptables -A FORWARD -d ! 172.16.1.11 -j DROP
# iptables -A FORWARD -s ! 172.16.1.11 -j DROP

отрубается связь узла 172.16.1.11 с внешней сеткой.
У кого-нибудь есть ещё идеи?
  Семнадцатый гость

я могу ошибаться давно не занимался этим, но получается что ты запрещаешь форвард всему кроме этого 172.16.1.11, но в сети присутствует собственно сам шлюз (который эзернет бридж), и у него тоже есть внешний интефейс и внутренний, видимо этим правилом ты его также запретил. подумай...
Или 172.16.1.11 это и есть eth0 в смысле который в сеть смотрит??
Там обычно идут от обратного: запрещают все "форвард дроп", а потом уже смотрят, что можно разрешить. успехов!
  Camel

Member
Статус: Не в сети
Регистрация: 06.05.2004
Откуда: Подмосковье
Семнадцатый гость, не понял тебя. Как виден из сети мост тоже непонятно. Вот команды которыми он поднимается
#!/bin/bash
Код:
# Part of /etc/rc.d/init.d/network script
brctl addbr bridge # Makeing bridge called bridge
brctl addif bridge eth0 # Adding interface eth0 to bridge bridge
brctl addif bridge eth1 # Adding interface eth1 to bridge bridge
ifconfig eth0 0.0.0.0 up # Setting up interface eth0 with no IP address
ifconfig eth1 0.0.0.0 up # Setting up interface eth1 with no IP address
ifconfig bridge 172.16.1.46 broadcast 172.16.255.255 netmask 255.255.0.0 up # Setting up bridge bridge with address 172.16.1.46, so I can access it via SSH
# End

Мост можно поднять без IP адреса, и тогда он будет совершенно невидим, в том числе для SSH клиентов и браузеров (на 172.16.1.46 ещё Lighttpd стоит).
Говоришь "всё FORWARD DROP"? То есть
Код:
# iptables -A FORWARD -d 0/0 -j DROP

А потом
Код:
# iptables -A FORWARD -d 172.16.1.46 -j ACCEPT
# iptables -A FORWARD -d 172.16.1.11 -j ACCEPT

Что-то здеся не то.
  Семнадцатый гость

да... точно... мост... торможу, ну тоды ой, потому что iptables толком на мостах не работает (говорят, что вообще не работает), для мостов пользуют ebtables сам с ним не сталкивался (я только шлюзы-маршрутизаторы-файерв настраивал), это поищи в поисковиках, про это много чего есть, хотя наверно придется с ядром возится. вот так...
  Camel

Member
Статус: Не в сети
Регистрация: 06.05.2004
Откуда: Подмосковье
Да, так и есть, для мостов надо использовать ёbtables. Кстати, на домашней странице проекта и примеры хорошие есть.
  Camel

Member
Статус: Не в сети
Регистрация: 06.05.2004
Откуда: Подмосковье
Поставил я ёbtables, работают. Правда почти ничего не фильтруют.
Код:
# ebtables -L
Bridge chain: INPUT, entries: 0, policy: ACCEPT

Bridge chain: FORWARD, entries: 7, policy: DROP
-p ARP -j ACCEPT
-p IPv4 --ip-src 172.16.1.11 -j ACCEPT
-p IPv4 --ip-dst 172.16.1.11 -j ACCEPT
-p IPv4 --ip-src 172.16.2.11 -j ACCEPT
-p IPv4 --ip-dst 172.16.2.11 -j ACCEPT
-p IPv4 --ip-src 172.16.2.46 -j ACCEPT
-p IPv4 --ip-dst 172.16.2.46 -j ACCEPT

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT

Проходят ARP'ы и всё всё что связано с машинами домашней сети.
Вопрос: можно ни отсечь часть ARP'ов без ущерба функциональности? Как уменьшить число broadcast пакетов? А то сеть, в основном, из виндовых машин, периодически случаются ARP штормы. Хочу чтобы они в домашнюю сеть не проникали. А если есть возможность, то ещё и самому не участовать в них (не рассылать ARP'ы в ответ на пришедшие ARP'ы).
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 8 
-

Список форумов » Специализированные форумы » Мир Unix-like систем

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan