URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2760
[ Назад ]
Исходное сообщение
"iptables+chains"
Отправлено Septima , 15-Июн-06 23:17 
Не могу заставить работать цепочку в firewall. Делаю так:
сразу после описания lo стоит правило iptables -A INPUT -i eth0 -j RASCALS
в цепочку RASCALS забиваю адреса своих негодяев так:
iptables -A RASCALS -s ${remote_IP} -p tcp -j REJECT --reject-with icmp-port-unreachable
Заканчивается цепочка так:
iptables -A RASCALS -j RETURN
iptables -L -nxv по этому поводу дает такую картину:
2015959 1695695380 RASCALS    all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
счетчики всех правил в цепочке равны 0,
22663 17109529 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Из чего я делаю вывод, что цепочка как-то работает (число входящих не равно числу исходящих). Хотя, когда вношу в таблицу RASCALS хост, с которого тестирую, пинг все равно проходит. Из чего я делаю вывод, что цепочка не работает. :(

Содержание
Сообщения в этом обсуждении
"iptables+chains"
Отправлено Sampan , 16-Июн-06 00:52 
>в цепочку RASCALS забиваю адреса своих негодяев так:
>iptables -A RASCALS -s ${remote_IP} -p tcp -j REJECT --reject-with icmp-port-unreachable

>Хотя, когда вношу в таблицу RASCALS хост, с
>которого тестирую, пинг все равно проходит.

Вообще-то, цепочка RASCALS написана для TCP протокола, а пинг - это ICMP...

"iptables+chains"
Отправлено Septima , 16-Июн-06 11:43 
>>в цепочку RASCALS забиваю адреса своих негодяев так:
>>iptables -A RASCALS -s ${remote_IP} -p tcp -j REJECT --reject-with icmp-port-unreachable
>
>>Хотя, когда вношу в таблицу RASCALS хост, с
>>которого тестирую, пинг все равно проходит.
>
>Вообще-то, цепочка RASCALS написана для TCP протокола, а пинг - это ICMP...
>

Да, не сообразил! Сейчас, на свежую голову еще nmap-ом прошелся - действительно закрывается.