iptables a -m iprange
Dalibor Straka
dast na panelnet.cz
Pondělí Únor 14 16:40:32 CET 2005
On Mon, Feb 14, 2005 at 03:57:36PM +0100, Martin Duda wrote:
> Martin Duda napsal(a):
>
> >Zdravim,
> >
> >potrebuji na firewallu omezit rozsah povolenych ip adres ve FORWARD-u.
> >Pouzil jsem nasledujici konstrukci prikl.:
> >
> ># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range
> >172.16.0.1-172.16.0.10 -j LOG \
> > --log-level info --log-prefix "iprange: " -m limit --limit 1/m
> >
> >Muj predpoklad byl, ze pokud provedu negaci (!) na --src-range, tak by
> >uvedene pravidlo melo zalogovat pouze ip, ktere nespadaji do uvedeneho
> >rozsahu. Bohuzel, zda se, ze muj predpoklad byl spatny :( Loguje to i
> >adresy v tom rozsahu. Tak nevim, ma nekdo napad?
> >Predem dik za rady.
> >
> >Duda
> >
> Jeste zajimavost - toto je man iptables ze Sarge:
> ...
> iprange
> This matches on a given arbitrary range of IPv4 addresses
>
> [!]--src-range ip-ip
> Match source IP in the specified range.
>
> [!]--dst-range ip-ip
> Match destination IP in the specified range.
Pokud jste si jist, ze pravidlo nefunguje pokud je _samotne_ v iptables,
zkuste se podivat na stranky a jejich bugy a sem poslete echo. Mozna je
onen kus kodu prilis experimentalni, chybi, nebo je jenom blbe :).
Coz takhle tuto indispozici iptables docasne obejit?
Misto ... ! --src-range 172.16.0.1-172.16.0.10 -j LOG ...
Napsat dve pravidla
1. ... --src-range 172.16.0.1-172.16.0.10 -j NEXT_CHAIN
2. ... -J LOG ...
-- Dalibor Straka
Další informace o konferenci Linux