iptables a -m iprange

Martin Duda duda na lib.cas.cz
Pondělí Únor 14 14:17:18 CET 2005


Dalibor Straka napsal(a):

>On Mon, Feb 14, 2005 at 01:49:14PM +0100, Jirka Kosina wrote:
>  
>
>>On Mon, 14 Feb 2005, Martin Duda wrote:
>>
>>    
>>
>>>potrebuji na firewallu omezit rozsah povolenych ip adres ve FORWARD-u. Pouzil
>>>jsem nasledujici konstrukci prikl.:
>>># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range
>>>Muj predpoklad byl, ze pokud provedu negaci (!) na --src-range, tak by uvedene
>>>pravidlo melo zalogovat pouze ip, ktere nespadaji do uvedeneho rozsahu.
>>>Bohuzel, zda se, ze muj predpoklad byl spatny :( Loguje to i adresy v tom
>>>rozsahu. Tak nevim, ma nekdo napad?
>>>      
>>>
>>Ta negace musi prijit az pred ten ip rozsah. Negujete rozsah, nikoliv 
>>parametr.
>>
>>    
>>
>Hele, a ze se nepriznal, ze mu iptables vraci chybu pri zadani tohoto
>prikazu. To je tajeni dulezitych informaci:
># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range 1.2.3.4 -j ACCEPT
>Me po zadani tohoto prikazu iptables vypise:
>"hoho"
>
>  
>
Zatajeni nebylo umyslne :) "hoho" mi to vratilo, ale priznam se, ze jsem 
to nepovazoval za chybovou hlasku...

>Coz me dozralo a v iptables -> extensios/libipt_iprange.c je skutecne
>	info->flags |= IPRANGE_SRC;
>    check_inverse(optarg, &invert, &optind, 0);
>	if (invert) {
>		info->flags |= IPRANGE_SRC_INV;
>		printf("hoho\n");
>		}
>											
>To zni skoro jako by to detekovalo spravnou inverzi tohoto prikazu.
>
>-- Dalibor Straka
>
>  
>
Duda



Další informace o konferenci Linux