URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89573
[ Назад ]

Исходное сообщение
"Набор IP"
Отправлено kurbad , 11-Авг-10 12:47

Добрый день.
Долго искал ответ на вопрос, но так и не нашел.
В iptables - есть возможность на ограничение доступа по ip или mac. ДЛя каждого ip прописывать долго. Как сделать чтоб он брал набор ip из файла? И то же самое по портам. Хочу организовать несколько ИП-листов с разными открытыми портами. Возможно это?

Содержание

Набор IP,Andrey Mitrofanov, 12:50 , 11-Авг-10
Набор IP,tux2002, 12:53 , 11-Авг-10
Набор IP,kurbad, 13:04 , 11-Авг-10
- Набор IP,reader, 13:12 , 11-Авг-10
- Набор IP,Andrey Mitrofanov, 13:56 , 11-Авг-10
Набор IP,Pahanivo, 13:27 , 11-Авг-10
- Набор IP,daevy, 13:36 , 11-Авг-10
Набор IP,kurbad, 13:44 , 11-Авг-10

Сообщения в этом обсуждении

"Набор IP"
Отправлено Andrey Mitrofanov , 11-Авг-10 12:50

>Долго искал ответ на вопрос
http://google.ru/search?hl=ru&client=iceape&rls=org.debian&#...

"Набор IP"
Отправлено tux2002 , 11-Авг-10 12:53

>Добрый день.
>Долго искал ответ на вопрос, но так и не нашел.
>В iptables - есть возможность на ограничение доступа по ip или mac.
>ДЛя каждого ip прописывать долго. Как сделать чтоб он брал набор
>ip из файла? И то же самое по портам. Хочу организовать
>несколько ИП-листов с разными открытыми портами. Возможно это?
Сценарием генерить правила из листа.

"Набор IP"
Отправлено kurbad , 11-Авг-10 13:04

Спасибо за быстрые ответы :) а кто чем пользовался? или они все хороши?

"Набор IP"
Отправлено reader , 11-Авг-10 13:12

есть еще маски и диапазоны

"Набор IP"
Отправлено Andrey Mitrofanov , 11-Авг-10 13:56

>Спасибо за быстрые ответы :) а кто чем пользовался?
http://www.opennet.me/docs/RUS/lor_faq/lor_faq-linux.html.gz...
>или они все хороши?
На вкус, на цвет...
Я firehol использую. http://google.ru/search?q=firehol+site:www.opennet.ru

"Набор IP"
Отправлено Pahanivo , 11-Авг-10 13:27

>Добрый день.
>Долго искал ответ на вопрос, но так и не нашел.
>В iptables - есть возможность на ограничение доступа по ip или mac.
>ДЛя каждого ip прописывать долго. Как сделать чтоб он брал набор
>ip из файла? И то же самое по портам. Хочу организовать
>несколько ИП-листов с разными открытыми портами. Возможно это?
for loop in `cat ip_list`
do
iptables bla bla bla $loop bla bla
done

"Набор IP"
Отправлено daevy , 11-Авг-10 13:36

вот мой пример, можно сделать по аналогии.
1) есть файлик rules.d/nat ($NATFILE). в нем описано кого, куда и как натим
# cat /opt/alexwall/rules.d/nat
#-------------+-------------+-----+-----+----------------------------------+
#    source   | destination |proto|port |              comment             |
#-------------+-------------+-----+-----+----------------------------------+
#
192.168.55.17 0.0.0.0/0 tcp 80,873,5222 #zabbix monitoring
192.168.95.201 92.122.126.0/25 tcp 80   #Symantec Anivirus Server
192.168.55.200 77.108.111.100 udp 87            #Sberbank kab.230!
192.168.55.200 195.64.205.67 tcp 80,443,1443,9091       #ZU kab.230 UralTransBank
192.168.55.200 212.49.112.205 tcp 80,443                #AK BARS
192.168.55.200 194.186.83.75 tcp 1352           # Zenit kab.230!
то есть, 5 столбцов - кто, куда, протокол, порт, коментарии
в скрипте который варганит правила, 2 блока, для FORWARD и -t nat POSTROUTING
#--- procedure to forward clientbanks with NAT in next table nat
TEMPFILE="/tmp/adresses"
grep -v ^# $NATFILE > $TEMPFILE
while read src dst proto dport comm; do
   iptables -A FORWARD -s $src -d $dst -p $proto -m multiport --dports $dport -j ACCEPT
done < $TEMPFILE
...
#NAT servers and klientbanks requests to Bank's servers
while read src dst proto dport comm; do
  iptables -t nat -A POSTROUTING -s $src -d $dst -p $proto -m multiport --dports $dport -j SNAT --to-source $REAL1_IP
done < $TEMPFILE
rm $TEMPFILE
то есть переделываем табличку и правило в блоках

"Набор IP"
Отправлено kurbad , 11-Авг-10 13:44

Всем спасибо за ответы:) будем пробовать :)