Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Náš Lopuch Vám
vytře zrak

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Klub Linux [ŽP: neomezená] (kategorie Počítače) moderují Case, Kdokoliv.
Archiv
Linux Distribution Chooser - vyplnenim jednoducheho testu najdete distribuci, ktera vam bude nejlepe vyhovovat.

commanlinefu.com
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: bndxrcd
[ 2908 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.10.2007 11:23  3494
Hm, ono to tak asi fungovat z principu nemůže, protože ten zápis říká:
zahoď pakety, co NEJSOU pro IP _a_současně_ NEJSOU pro PORT.
Takže pokud paket JE pro to IP, tak se na něj to pravidlo nevztahuje.
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.10.2007 11:20  3493
tvx [3491]: ICMP je v pohodě, UDP teď neřeším, ale asi to taky nebudu považovat za problém...
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 11:19  3492
jo, koukni do manualu... jde tam urcit i kam to v syslogu spadne a pridat si tam svoji hlasku...
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 11:15  3491
tak me jen napada, ze s touto podminkou ti projde veskery UDP a ICMP ale to asi neni to co te zajima?
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.10.2007 11:13  3490
Ten log je do syslogu?
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 11:10  3489
podle me by to pote co jsem si vsimnul ze to mas jen na konkretni zdrojovy adresy, melo fungovat... nezlobi ti tam treba i neco jineho, treba poradi?
nepousti to nic nebo naopak vsechno?
zkus tu podminku s -j LOG
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.10.2007 11:08  3488
tvx [3486]: To se dost blbě zkouší, každopádně to neomezí forward jen na to jednu IP:PORT.
Nevím, jestli to omezilo IP, ale porty určitě ne, dostal jsem se i na jiné porty, než byl ten zamýšlený.
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.10.2007 11:06  3487
tvx [3484]: Už se s tím pomalu smiřuju, jen by mne ještě zajímalo, co teda dělá ten můj zamýšlený zápis
-d ! IP --dport ! PORT
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 11:05  3486
aha, mi uniklo to '-s SOURCE'
a jakej vysledek ti teda dela ta tebou uvedena podminka co nefunguje?

tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 11:00  3485
napada me leda...jedine elegantni reseni pro zprehledneni... nasypat si vse pro ty adresy do vlastniho chainu... a tam jim hromadne jednim zapisem omezit ty porty... jinak
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 10:58  3484
pokud to dobre chapu, tak to z hlediska logiky prave jednim pravidlem nepujde a tvuj zapis je zcela minimalistickej.
tvuj prvni zapis dole zakaze nadale navzdy a UPLNE vse krom teto adresy a portu, tedy i vsechny jine forwardy. ber to jako logicke AND

themajkl themajkl All those moments will be lost in time - like tears in rain. 18.10.2007 10:43  3483
tvx [3482]:
Nejsem zas úplný začátečník .-)
Mám na forward policy DROP.
Mám povolený forward mezi eth1 a tun0 (oběma směry).
A potřebuju jen omezit vyjmenované IP adresy z tun0, aby mohly přistupovat jen na jednu IP:PORT na eth1.
Takže jediné, co potřebuju, je způsob zápisu "adrese tunIP zakaž všechno, kromě destinace ethIP:PORT".
Zatím to obcházím dvěma pravidly (povol té tunIP adrese ethIP:PORT; zakaž všechno tunIP), což snad funguje, jde mi jen o zápis tohoto do jednoho pravidla.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 10:36  3482
neco cesky treba tady
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 18.10.2007 10:30  3481
predevsim, spravna a proverena metoda je dat chain policy na DROP (tedy zakaz vse) a tvoje pravidla by mely naopak rikat, co se nezahodi... tedy bys mel pravidlo kladne...
(z hlavy neriucim za syntaxi) iptables -P FORWARD DROP
jako posledni pravidlo se pak pro ladeni dava 'cokoli co sem dorazi -j LOG' a v logu si muzes cist co neproslo

jinak to mas zapsany snad dobre, jen pouzivam jiny poradi ale pokud to iptables syntakticky bere... a myslim ze sem musival escapovat ! protoze shell ho snad interpretoval ale uz si nepamatuju souvislosti...

dalsi vtip, pokud by slo o NAT je, ze krom FORWARD existuje jeste PREROUTING a POSTROUTING. v preroutingu je to jak to prislo pred prekladem, v postroutingu po prekladu a pred odchodem ven.
nevim ti z hlavy v jakym stavu je to pri prekladu ve FORWARD
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.10.2007 08:09  3480
iptablesjak udělám pravidlo "zahoď pakety, co nemíří jeden konkrétní port jedné konkrétní IP" (pro forward)?

iptables -I FORWARD -j DROP -p tcp -s SOURCE
-d ! IP –dport ! PORT

nefunguje...
(Je povolen forward z jednoho interface na druhý obecně, potřebuju jen usměrnit pár konkrétních IP adres....)
[ 2908 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt