Новые ответы

iptables+ipset,

ramzes3000, 02-Окт-17, 15:44 [смотреть все]

Здравствуйте.
Связка iptables+ipset
#создаем и добавляем сеть для блокировки
ipset -N dropnet nethash
ipset -A dropnet x.x.x.x/24
# блокируем
-A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
#создаем и добавляем адреса для исключения
ipset -N allowip ipthash
ipset -A allowip x.x.x.x
ipset -A allowip xx.xx.xx.xx
Подскажите, как в iptables разрешить dropnet только для allowip ?

Ответить | Сообщить модератору

iptables+ipset, Andrey Mitrofanov, 16:01 , 02-Окт-17 (1)

iptables+ipset, ramzes3000, 16:18 , 02-Окт-17 (2)
>[оверквотинг удален]
>> -A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
>> #создаем и добавляем адреса для исключения
>> ipset -N allowip ipthash
>> ipset -A allowip x.x.x.x
>> ipset -A allowip xx.xx.xx.xx
>> Подскажите, как в iptables разрешить dropnet только для allowip ?
> Ну, например, обойти -j DROP для разрешённых -- в отдельной цепочке
> -A FORWARD -o eth0.1 -j DROP2SET
> -A DROP2SET -m set --set allowip src -j RETURN
> -A DROP2SET -m set --set dropnet dst -j DROP
Хочется одной строкой типа allowip разрешить dropnet
Ответить | Сообщить модератору

iptables+ipset, Andrey Mitrofanov, 18:38 , 02-Окт-17 (3) +1

iptables+ipset, ramzes3000, 18:41 , 02-Окт-17 (4)
>> Хочется одной строкой типа allowip разрешить dropnet
> Зачем?...
> Ну, на,
> iptables -A FORWARD -m set ! --match-set Locals src
> -m set --match-set Remotes dst -j DROP
> Полегчало? (-m set два раза _не_ нужно afaui)
> https://utcc.utoronto.ca/~cks/space/blog/linux/IptablesIpset...
> https://duckduckgo.com/?q=iptables+multiple+ipset+conditions...
Спасибо!
Отпустило.
Ответить | Сообщить модератору