URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1006
[ Назад ]

Исходное сообщение
"Вопрос оп iptables"
Отправлено Atos , 13-Ноя-03 16:27

Вопрос вот в чем: надо ограничить трафик(вернее его "обрезать") x.x.x.x
Прописал в iptables:
....
-A INPUT -s x.x.x.x -p tcp -m tcp -j DROP
....
-A FORWARD -s x.x.x.x -p tcp -m tcp -j DROP
Делаю iptables reload - пишет все ОК
При выводе статистики выводит:
DROP tcp -- x.x.x.x anywhere
Тоже далал и в обратную сторону, в статистике он пишет, что правила применил. Но когда садишся за машину с ip x.x.x.x и идеш через 80 или 3128 - сервер его пускает!!
Вчем тут грабли?

Содержание

Вопрос оп iptables,hideo, 20:06 , 16-Ноя-03
- Вопрос оп iptables,Anatoly, 05:16 , 19-Ноя-03
Вопрос оп iptables,Atos, 11:47 , 20-Ноя-03

Сообщения в этом обсуждении

"Вопрос оп iptables"
Отправлено hideo , 16-Ноя-03 20:06

>Вопрос вот в чем: надо ограничить трафик(вернее его "обрезать") x.x.x.x
>Прописал в iptables:
>....
>-A INPUT -s x.x.x.x -p tcp -m tcp -j DROP
>....
>-A FORWARD -s x.x.x.x -p tcp -m tcp -j DROP
>
>Делаю iptables reload - пишет все ОК
>При выводе статистики выводит:
>DROP tcp -- x.x.x.x
>
> anywhere
>Тоже далал и в обратную сторону, в статистике он пишет, что правила
>применил. Но когда садишся за машину с ip x.x.x.x и идеш
>через 80 или 3128 - сервер его пускает!!
>Вчем тут грабли?
А если не писать -p tcp -m tcp?
или вместо них написать -i eth0

"Вопрос оп iptables"
Отправлено Anatoly , 19-Ноя-03 05:16

>>Вопрос вот в чем: надо ограничить трафик(вернее его "обрезать") x.x.x.x
>>Прописал в iptables:
>>....
>>-A INPUT -s x.x.x.x -p tcp -m tcp -j DROP
>>....
>>-A FORWARD -s x.x.x.x -p tcp -m tcp -j DROP
>>
>>Делаю iptables reload - пишет все ОК
>>При выводе статистики выводит:
>>DROP tcp -- x.x.x.x
>>
>> anywhere
>>Тоже далал и в обратную сторону, в статистике он пишет, что правила
>>применил. Но когда садишся за машину с ip x.x.x.x и идеш
>>через 80 или 3128 - сервер его пускает!!
>>Вчем тут грабли?
>
>А если не писать -p tcp -m tcp?
>или вместо них написать -i eth0
Возможно машина x.x.x.x делает запрос через транспарент (прозрачную )Proxy ? тогда на фильтр приходят пекеты не с x.x.x.x а с адреса соответствующего сервиса.. понаблюдай за процессом с помощью tcpdamp`а. Попробуй обновить iptables.

"Вопрос оп iptables"
Отправлено Atos , 20-Ноя-03 11:47

Всем спасибо за подсказки. Но проблема оказалась в моей не внимательности... Я поставил правило:
-A INPUT -s x.x.x.x -p tcp -m tcp -j DROP
После:
-A INPUT -s x.x.x.0/y.y.y.0 -p tcp -m tcp -j ACCEPT
Сейчас поменял их местами и все заработало....