S125.ru - форумы
Правила форума Помощь Поиск Пользователи Календарь
2 страниц V  < 1 2  
Ответить в данную темуНачать новую тему
Ломаю голову над IPTABLES
aleksei123321
сообщение 15.4.2014, 0:11
Сообщение #31





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




Цитата(LU_ @ 15.4.2014, 0:03) *
общий акцепт, посде дропа бессмысленин....
правила обрабатываются по очереди, пр етом дроп говорит о том, что все что ниже - не работает....


в любом случае общий акцепт - какоето масло масленое, что еще принемать, если есть правила которые что-то разрешают, а потом идет правило "все остальное - запретить"

ну как я понял,асепт всегда после дропов нужен),то есть если в дропе не задержали по правилу,то тогда асепт.
Перейти в начало страницы
 
+Цитировать сообщение
LU_
сообщение 15.4.2014, 0:25
Сообщение #32


Неизбежное зло форума


Группа: Пользователи
Сообщений: 11 065
Регистрация: 11.7.2011
Из: Антарктиды, где много диких пингвинов




Цитата(aleksei123321 @ 15.4.2014, 1:11) *
ну как я понял,асепт всегда после дропов нужен),то есть если в дропе не задержали по правилу,то тогда асепт.

если дроп стоит с какимто условием, а не всеобщий и безнадежный
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 15.4.2014, 0:26
Сообщение #33





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




убрал короче ассепт-дроп общий.
а в этой строке асепт должуенбыть или таки дроп?
iptables -I FORWARD 3 -p tcp -d 192.168.1.33 --dport 2020 -m limit --limit 4/second --limit-burst 5 -j ACCEPT
То есь как оно работает,разрешает если не более 4 ,или дропает если больше?)

Сообщение отредактировал aleksei123321 - 15.4.2014, 0:32
Перейти в начало страницы
 
+Цитировать сообщение
Muzzle
сообщение 18.4.2014, 11:03
Сообщение #34





Группа: Пользователи
Сообщений: 555
Регистрация: 6.7.2008
Из: офиса ^_^




Цитата(aleksei123321 @ 15.4.2014, 1:26) *
убрал короче ассепт-дроп общий.
а в этой строке асепт должуенбыть или таки дроп?
iptables -I FORWARD 3 -p tcp -d 192.168.1.33 --dport 2020 -m limit --limit 4/second --limit-burst 5 -j ACCEPT
То есь как оно работает,разрешает если не более 4 ,или дропает если больше?)

а тут как захочешь можешь сделать, в твоем случает будет работать так : максимальное кол-во пакетов по правилу 5, после этого правило заполнится и пакеты будут переходить дальше по цепочке в поисках попадания в правило,либо попадут в правила по умолчанию(там уже как захочешь), каждые 1\4 секунды кол-во пакетов в твоем правиле будут уменьшаться на 1 шт
Можно заюзать символ !, тогда все правило будет работать в обратную сторону, пакеты туда будут попадать только после превышения ограничений -m limit !

Вот тут можно почитать информацию, чтобы подробнее понять, что это такое http://www.opennet.ru/base/net/iptables_tbf.txt.html
Перейти в начало страницы
 
+Цитировать сообщение
LU_
сообщение 18.4.2014, 11:14
Сообщение #35


Неизбежное зло форума


Группа: Пользователи
Сообщений: 11 065
Регистрация: 11.7.2011
Из: Антарктиды, где много диких пингвинов




я фсихда говорил, что ип-тэйблс придумало существо явно не с нашей планеты, причем я сильно подазреваю, что оно не было гуманоидом.....
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 28.7.2014, 10:04
Сообщение #36





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




это снова я. ) подскажите шо не так сделано.
повадился яндексовский бот до меня лазить. поначалу думал фиг с ним,но потом конкретно он надоел. я запихал в роутер его диапазон ипов -m iprange --src-range 5.255.253.0-5.255.253.255 -j DROP.
ну думаю успокоется,смотрю через неделю логи,а он как ломился,так и ломится успешно дальше c 5.255.253.179
я залез в консоль какуюто в роутере, iptables -nvL , мне нарисовали список правил , и это правило с яндексовским диапазоном конеш там есть,только в дропах 0. при этом у близстоящего правила пакеты дропаются, на картинке


(IMG:http://p2.s125.ru/ui/2014/07/28/c50266.jpg)

и есть еще дроп именно под этот ип немного выше дропа диапазона. там тоже ничего.

Сообщение отредактировал aleksei123321 - 28.7.2014, 10:21
Перейти в начало страницы
 
+Цитировать сообщение
theurs
сообщение 28.7.2014, 10:22
Сообщение #37





Группа: Пользователи
Сообщений: 3 417
Регистрация: 23.7.2008




если это правило не срабатывает значит срабатывает какое то правило выше по списку
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 29.7.2014, 0:10
Сообщение #38





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




как узнать какое срабатывает?
там просто общий дроп на любой протоколол-порт для диапазона. я даже не скажу на какой порт он лезет,или 8008,или 80,с которого стоит перенаправить на 8008. выше есть правила именно для 8008 порта,с лимитом запросов и лимитом конектов,а потом после них дроп на 8008

Код
pkts bytes target     prot opt in     out     source               destination        
    6   324 REJECT     tcp  --  *      *       0.0.0.0/0            192.168.1.33         tcp dpt:8008 flags:0x17/0x02 #conn src/32 > 3 reject-with tcp-reset
31916 3044K logaccept  all  --  br0    br0     0.0.0.0/0            0.0.0.0/0          
  934 74970 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.33         tcp dpt:8008 limit: avg 2/sec burst 3
1241 73142 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.33         tcp dpt:8008

а потом ниже там 2 общих для всех дропа: инвалидные пакеты и дослимит.


Сообщение отредактировал aleksei123321 - 29.7.2014, 0:14
Перейти в начало страницы
 
+Цитировать сообщение
mainframe
сообщение 30.7.2014, 1:58
Сообщение #39





Группа: Пользователи
Сообщений: 245
Регистрация: 2.9.2010
Из: Владивосток




Цитата(aleksei123321 @ 29.7.2014, 1:10) *
как узнать какое срабатывает?
там просто общий дроп на любой протоколол-порт для диапазона. я даже не скажу на какой порт он лезет,или 8008,или 80,с которого стоит перенаправить на 8008. выше есть правила именно для 8008 порта,с лимитом запросов и лимитом конектов,а потом после них дроп на 8008

Код
pkts bytes target     prot opt in     out     source               destination        
    6   324 REJECT     tcp  --  *      *       0.0.0.0/0            192.168.1.33         tcp dpt:8008 flags:0x17/0x02 #conn src/32 > 3 reject-with tcp-reset
31916 3044K logaccept  all  --  br0    br0     0.0.0.0/0            0.0.0.0/0          
  934 74970 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.33         tcp dpt:8008 limit: avg 2/sec burst 3
1241 73142 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.33         tcp dpt:8008

а потом ниже там 2 общих для всех дропа: инвалидные пакеты и дослимит.


Посмотри цель TRACE в мане иптаблеса. Лучше использовать с -m limit, даёт ОЧЕНЬ много логов в ядерный буфер. Пример использования.
Перейти в начало страницы
 
+Цитировать сообщение
bb125
сообщение 2.8.2014, 13:20
Сообщение #40





Группа: Пользователи
Сообщений: 639
Регистрация: 10.8.2011




pf рулитъ! (IMG:style_emoticons/default/smile.gif) iptables я за 8 лет так юмора и не понял, а pf за полчаса понял. автору - совет присмотреться (IMG:style_emoticons/default/smile.gif)
Перейти в начало страницы
 
+Цитировать сообщение
mainframe
сообщение 2.8.2014, 16:35
Сообщение #41





Группа: Пользователи
Сообщений: 245
Регистрация: 2.9.2010
Из: Владивосток




Если ты про синтаксис - это скоро перестанет быть преимуществом.
Перейти в начало страницы
 
+Цитировать сообщение
Anarchy
сообщение 2.8.2014, 18:31
Сообщение #42


Люблю дыньки :-)


Группа: Супермодератор
Сообщений: 1 429
Регистрация: 22.8.2011
Из: интырнетоф




Цитата(mainframe @ 2.8.2014, 17:35) *
Если ты про синтаксис - это скоро перестанет быть преимуществом.

"нацеленная на замену"- не значит заменит
Перейти в начало страницы
 
+Цитировать сообщение
mainframe
сообщение 2.8.2014, 19:35
Сообщение #43





Группа: Пользователи
Сообщений: 245
Регистрация: 2.9.2010
Из: Владивосток




Будет-будет, если читать дальше первого абзаца, можно заметить, что оно уже в ядре с 3.13 (а на подходе 3.16). Юзерспейс подтянется в пределах года.

Сообщение отредактировал mainframe - 2.8.2014, 19:35
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 7.2.2018, 21:00
Сообщение #44





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




может линуксоводы таки подскажут , в чем дело? я помню както уже задавал точно такой-же вопрос и никто не смог решить задачу.
у меня щас задача дропать все пакеты от 50.0.0.0/9 и 173.248.0.0/13 . и как ни странно они дропаются

(IMG:http://p2.s125.ru/ui/2018/02/07/ec7360.jpg)

но в то-же время в файле access.log я наблюдаю
Код
50.116.59.60 - - [07/Feb/2018:20:57:07 +1000] "HEAD /Vladivostok_FM HTTP/1.1" 400 304 "-" "nowrelinch/0.1" 0
50.116.59.60 - - [07/Feb/2018:20:57:07 +1000] "GET /status.xsl HTTP/1.1" 200 52549 "-" "nowrelinch/0.1" 0
50.116.59.60 - - [07/Feb/2018:20:57:19 +1000] "HEAD /Vladivostok_FM HTTP/1.1" 400 304 "-" "nowrelinch/0.1" 0
50.116.59.60 - - [07/Feb/2018:20:57:20 +1000] "GET /status.xsl HTTP/1.1" 200 52549 "-" "nowrelinch/0.1" 0
то есть запросы доходят до компа.
этот ip входит в тот диапазон 50.0.0.0/9,я на 2ip это дело глянул. или это другая подсеть? тогда что дропает iptables?
пробовал указывать полносстью диапазон ip 50.0.0.0 - 50.118.255.255 , все так-же чтото дропается и что-то доходит.

Сообщение отредактировал aleksei123321 - 7.2.2018, 21:07
Перейти в начало страницы
 
+Цитировать сообщение
3acpanezAkaZLOY
сообщение 8.2.2018, 12:36
Сообщение #45


За ТорбаЧ


Группа: Пользователи
Сообщений: 3 711
Регистрация: 7.7.2008




ну так ты дропаешь tcp-пакеты, при это не трогая udp и icmp. Дропаешь на чепочке Forward?

и я бы ещё ребутнул сеть, чтобы сессии закрыть

Сообщение отредактировал 3acpanezAkaZLOY - 8.2.2018, 12:40
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 8.2.2018, 16:50
Сообщение #46





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




я пробовал udp, icmp режется только в инпуте.
конеш форвард

Сообщение отредактировал aleksei123321 - 8.2.2018, 17:14
Перейти в начало страницы
 
+Цитировать сообщение
3acpanezAkaZLOY
сообщение 8.2.2018, 17:24
Сообщение #47


За ТорбаЧ


Группа: Пользователи
Сообщений: 3 711
Регистрация: 7.7.2008




А сервис, к которому надо доступ перекрыть, на той же машине, что и таблица iptables?
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 8.2.2018, 17:30
Сообщение #48





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




net, iptables на роутере. icecast ,откуда беру логи,что какие-то пакеты с тех ипов проходят- на компе. поэттому forward

Сообщение отредактировал aleksei123321 - 8.2.2018, 17:32
Перейти в начало страницы
 
+Цитировать сообщение
3acpanezAkaZLOY
сообщение 8.2.2018, 17:41
Сообщение #49


За ТорбаЧ


Группа: Пользователи
Сообщений: 3 711
Регистрация: 7.7.2008




Я бы тогда ещё раз пролистал таблицу и посмотрел "политику по умолчанию", может где-то выше по таблице есть правила, которые позволяют проскакивать пакетам.

Думаю знаете, что в iptables, работает первое попавшееся под критерий правило.

Сообщение отредактировал 3acpanezAkaZLOY - 8.2.2018, 18:08
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 8.2.2018, 17:57
Сообщение #50





Группа: Пользователи
Сообщений: 4 965
Регистрация: 11.6.2011




да, сам дурак короче. я понял в чем прикол )). вам конеш смешно может но я виндузятник,и iptables просто пришлось немного поизучать. поэтому такие ошибки )
я щас поглядел,у меня короче в форварде шли вначале три-4 правила на всякие нужные дропы типа неправильных пакетов и на нек порты, а потом оказывается сразу стоит state RELATED,ESTABLISHED а после него снова куча правил с дропами нужными)
ну а дропы-то все должны стоять в начале ,до ESTABLISHED.
ладн спасибо

Сообщение отредактировал aleksei123321 - 8.2.2018, 18:05
Перейти в начало страницы
 
+Цитировать сообщение
3acpanezAkaZLOY
сообщение 8.2.2018, 18:06
Сообщение #51


За ТорбаЧ


Группа: Пользователи
Сообщений: 3 711
Регистрация: 7.7.2008




как всегда - невнимательность)
Перейти в начало страницы
 
+Цитировать сообщение

2 страниц V  < 1 2
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Для

Тема
Сообщение
Текстовая версия Сейчас: 21.2.2018, 23:35