Одно из частых применений address lists - "временные" записи, в том числе для неудачных попыток подключения и временных банов. Или наоборот, "полезных" машин, для port knocking.
Для этого у ipset есть опция timeout. А дальше как обычно, ALLOW|DROP
И пример доки
https://habrahabr.ru/post/108691/
Показаны сообщения с ярлыком iptables. Показать все сообщения
Показаны сообщения с ярлыком iptables. Показать все сообщения
пятница, 7 октября 2016 г.
среда, 31 декабря 2014 г.
openvz + iptables nat
# uname -a
Linux r31.ru 2.6.32-042stab102.9 #1 SMP Fri Dec 19 20:34:40 MSK 2014 x86_64 x86_64 x86_64 GNU/Linux
Linux r31.ru 2.6.32-042stab102.9 #1 SMP Fri Dec 19 20:34:40 MSK 2014 x86_64 x86_64 x86_64 GNU/Linux
При попытке сделать iptables -t nat -L получаем
iptables v1.4.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptable_nat, nf_nat загружены.
пятница, 30 мая 2014 г.
iptables+bridge
Например, есть сервер с виртуализацией (может быть просто 2 сетевых интерфейса), где сетевые карты виртуалок сидят в бридже с основным интерфейсом, например vmbr0 с eth0 и veth100.0
Если просто вешать правила на хост-ноде, даже при policy DROP хост-нода станет недоступна, но виртуалки будут спокойно ходить через бридж. Это потому, что бридж это L2, и тут нужен ebtables и это будет примерно так
ebtables -A FORWARD -p ip --ip-source 192.168.253.1 --ip-destination 192.168.253.2 -j DROP
Если же нет нужных модулей под ebtables или хочется/нужен iptables, нам в помощь приходит
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
(через sysctl)
А с учётом интерфейса -- нужен physdev
Линки
http://toster.ru/q/29447
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
http://www.cyberciti.biz/faq/debian-network-interfaces-bridge-eth0-eth1-eth2/
Если просто вешать правила на хост-ноде, даже при policy DROP хост-нода станет недоступна, но виртуалки будут спокойно ходить через бридж. Это потому, что бридж это L2, и тут нужен ebtables и это будет примерно так
ebtables -A FORWARD -p ip --ip-source 192.168.253.1 --ip-destination 192.168.253.2 -j DROP
Если же нет нужных модулей под ebtables или хочется/нужен iptables, нам в помощь приходит
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
(через sysctl)
А с учётом интерфейса -- нужен physdev
Линки
http://toster.ru/q/29447
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
http://www.cyberciti.biz/faq/debian-network-interfaces-bridge-eth0-eth1-eth2/
четверг, 29 августа 2013 г.
debian 7: куда сохранять правила для iptables?
Ищем загрузку правил:
grep -rl iptables /etc/
/etc/network/if-up.d/iptables
grep -rl iptables /etc/
/etc/network/if-up.d/iptables
cat /etc/network/if-up.d/iptables
#!/bin/sh
/sbin/iptables-restore < /var/lib/iptables/rules
Значит, искомый путь в /var/lib/iptables/rules
ЗЫ
Если стоит ispmanager, он этот файл заполняет, но иногда почему-то при запуске оно игнорируется. Проверить наличие правил:
iptables -L -v
Если пусто - можно загрузить руками, /sbin/iptables-restore < /var/lib/iptables/rules
Подписаться на:
Сообщения (Atom)