iptables a -m iprange

[Martin Duda]

Martin Duda napsal(a):

>Zdravim,
>
>potrebuji na firewallu omezit rozsah povolenych ip adres ve FORWARD-u. 
>Pouzil jsem nasledujici konstrukci prikl.:
>
># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range 
>172.16.0.1-172.16.0.10 -j LOG \
>    --log-level info --log-prefix "iprange: " -m limit --limit 1/m
>
>Muj predpoklad byl, ze pokud provedu negaci (!) na --src-range, tak by 
>uvedene pravidlo melo zalogovat pouze ip, ktere nespadaji do uvedeneho 
>rozsahu. Bohuzel, zda se, ze muj predpoklad byl spatny :( Loguje to i 
>adresy v tom rozsahu. Tak nevim, ma nekdo napad?
>Predem dik za rady.
>
>Duda
>
Jeste zajimavost - toto je man iptables ze Sarge:
...
   iprange
       This matches on a given arbitrary range of IPv4 addresses

       [!]--src-range ip-ip
              Match source IP in the specified range.

       [!]--dst-range ip-ip
              Match destination IP in the specified range.
...

Duda