iptables a -m iprange
Martin Duda
duda na lib.cas.cz
Pondělí Únor 14 14:17:18 CET 2005
Dalibor Straka napsal(a):
>On Mon, Feb 14, 2005 at 01:49:14PM +0100, Jirka Kosina wrote:
>
>
>>On Mon, 14 Feb 2005, Martin Duda wrote:
>>
>>
>>
>>>potrebuji na firewallu omezit rozsah povolenych ip adres ve FORWARD-u. Pouzil
>>>jsem nasledujici konstrukci prikl.:
>>># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range
>>>Muj predpoklad byl, ze pokud provedu negaci (!) na --src-range, tak by uvedene
>>>pravidlo melo zalogovat pouze ip, ktere nespadaji do uvedeneho rozsahu.
>>>Bohuzel, zda se, ze muj predpoklad byl spatny :( Loguje to i adresy v tom
>>>rozsahu. Tak nevim, ma nekdo napad?
>>>
>>>
>>Ta negace musi prijit az pred ten ip rozsah. Negujete rozsah, nikoliv
>>parametr.
>>
>>
>>
>Hele, a ze se nepriznal, ze mu iptables vraci chybu pri zadani tohoto
>prikazu. To je tajeni dulezitych informaci:
># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range 1.2.3.4 -j ACCEPT
>Me po zadani tohoto prikazu iptables vypise:
>"hoho"
>
>
>
Zatajeni nebylo umyslne :) "hoho" mi to vratilo, ale priznam se, ze jsem
to nepovazoval za chybovou hlasku...
>Coz me dozralo a v iptables -> extensios/libipt_iprange.c je skutecne
> info->flags |= IPRANGE_SRC;
> check_inverse(optarg, &invert, &optind, 0);
> if (invert) {
> info->flags |= IPRANGE_SRC_INV;
> printf("hoho\n");
> }
>
>To zni skoro jako by to detekovalo spravnou inverzi tohoto prikazu.
>
>-- Dalibor Straka
>
>
>
Duda
Další informace o konferenci Linux