iptables a -m iprange
Dalibor Straka
dast na panelnet.cz
Pondělí Únor 14 14:05:25 CET 2005
On Mon, Feb 14, 2005 at 01:49:14PM +0100, Jirka Kosina wrote:
> On Mon, 14 Feb 2005, Martin Duda wrote:
>
> > potrebuji na firewallu omezit rozsah povolenych ip adres ve FORWARD-u. Pouzil
> > jsem nasledujici konstrukci prikl.:
> > # iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range
> > Muj predpoklad byl, ze pokud provedu negaci (!) na --src-range, tak by uvedene
> > pravidlo melo zalogovat pouze ip, ktere nespadaji do uvedeneho rozsahu.
> > Bohuzel, zda se, ze muj predpoklad byl spatny :( Loguje to i adresy v tom
> > rozsahu. Tak nevim, ma nekdo napad?
>
> Ta negace musi prijit az pred ten ip rozsah. Negujete rozsah, nikoliv
> parametr.
>
Hele, a ze se nepriznal, ze mu iptables vraci chybu pri zadani tohoto
prikazu. To je tajeni dulezitych informaci:
# iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range 1.2.3.4 -j ACCEPT
Me po zadani tohoto prikazu iptables vypise:
"hoho"
Coz me dozralo a v iptables -> extensios/libipt_iprange.c je skutecne
info->flags |= IPRANGE_SRC;
check_inverse(optarg, &invert, &optind, 0);
if (invert) {
info->flags |= IPRANGE_SRC_INV;
printf("hoho\n");
}
To zni skoro jako by to detekovalo spravnou inverzi tohoto prikazu.
-- Dalibor Straka
Další informace o konferenci Linux