iptables a -m iprange
Martin Duda
duda na lib.cas.cz
Pondělí Únor 14 14:34:01 CET 2005
Jirka Kosina napsal(a):
>On Mon, 14 Feb 2005, Martin Duda wrote:
>
>
>
>>potrebuji na firewallu omezit rozsah povolenych ip adres ve FORWARD-u. Pouzil
>>jsem nasledujici konstrukci prikl.:
>># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range
>>Muj predpoklad byl, ze pokud provedu negaci (!) na --src-range, tak by uvedene
>>pravidlo melo zalogovat pouze ip, ktere nespadaji do uvedeneho rozsahu.
>>Bohuzel, zda se, ze muj predpoklad byl spatny :( Loguje to i adresy v tom
>>rozsahu. Tak nevim, ma nekdo napad?
>>
>>
>
>Ta negace musi prijit az pred ten ip rozsah. Negujete rozsah, nikoliv
>parametr.
>
Hmm, to jsem zkousel jako prvni, bohuzel to vraci pro zmenu "standardni"
chybovou hlasku + hoho :)
iptables -I FORWARD 1 -i eth1 -p tcp -m iprange --src-range !
192.168.0.2-192.168.0.64 -j LOG --log-level info --log-prefix "iprange:
" -m limit --limit 10/m
hoho
iptables v1.2.11: iprange match: Bad IP address `!'
Try `iptables -h' or 'iptables --help' for more information.
Vypada to, ze negace neni opravdu implementovana :(
Duda
Další informace o konferenci Linux