iptables a -m iprange
Stanislav Petr
stanislav.petr na hosting90.cz
Pondělí Únor 14 19:21:00 CET 2005
Dne po 14. února 2005 14:34 Martin Duda napsal(a):
> Jirka Kosina napsal(a):
> >On Mon, 14 Feb 2005, Martin Duda wrote:
> >>potrebuji na firewallu omezit rozsah povolenych ip adres ve FORWARD-u.
> >> Pouzil jsem nasledujici konstrukci prikl.:
> >># iptables -A FORWARD -i eth1 -p tcp -m iprange ! --src-range
> >>Muj predpoklad byl, ze pokud provedu negaci (!) na --src-range, tak by
> >> uvedene pravidlo melo zalogovat pouze ip, ktere nespadaji do uvedeneho
> >> rozsahu. Bohuzel, zda se, ze muj predpoklad byl spatny :( Loguje to i
> >> adresy v tom rozsahu. Tak nevim, ma nekdo napad?
> >
> >Ta negace musi prijit az pred ten ip rozsah. Negujete rozsah, nikoliv
> >parametr.
>
> Hmm, to jsem zkousel jako prvni, bohuzel to vraci pro zmenu "standardni"
> chybovou hlasku + hoho :)
>
> iptables -I FORWARD 1 -i eth1 -p tcp -m iprange --src-range !
> 192.168.0.2-192.168.0.64 -j LOG --log-level info --log-prefix "iprange:
> " -m limit --limit 10/m
> hoho
> iptables v1.2.11: iprange match: Bad IP address `!'
>
> Try `iptables -h' or 'iptables --help' for more information.
>
> Vypada to, ze negace neni opravdu implementovana :(
A vam ty packety chodi jen jednim smerem? Jen takovej vystrel na slepo -
neloguje Vam to nahodou treba odpovedi? Zkuste to pravidlo budto udelat
obousmerny, nebo pouzit jeste stavovej filtr.
--
Stanislav Petr
Hosting 90 s.r.o.
Další informace o konferenci Linux