View previous topic :: View next topic |
Author |
Message |
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
devilheart l33t
Joined: 17 Mar 2005 Posts: 848 Location: Villach, Austria
|
Posted: Wed Jun 03, 2009 7:28 am Post subject: |
|
|
ti serve CONFIG_NETFILTER_XT_MATCH_MAC |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
devilheart l33t
Joined: 17 Mar 2005 Posts: 848 Location: Villach, Austria
|
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
devilheart l33t
Joined: 17 Mar 2005 Posts: 848 Location: Villach, Austria
|
Posted: Wed Jun 03, 2009 5:48 pm Post subject: |
|
|
e mettere solo la destinazione? una semplice regola che blocca tutto quello che vuole andare su 92.60.65.198, indipendentemente da chi ci vuole andare |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Jun 03, 2009 6:17 pm Post subject: |
|
|
La questione mi interessa e mi piacerebbe discuterla più approfonditamente ma non ne ho il tempo.
Intanto mi permetto di farti notare che il mac address di una scheda lo cambi in meno di 3 secondi e se non sbaglio c'è almeno un sw in portage che consente di farlo quindi ti sconsiglio di usarlo come criterio per filtrare
fbcyborg wrote: | Sarebbe una buona idea, ma ripensandoci alla fine il discorso è sempre lo stesso: usa un proxy e baypassa il filtro. |
basta usare whitelist che non contemplino questi proxy o una blacklist in cui li inserisci ... _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Thu Jun 04, 2009 2:10 pm Post subject: |
|
|
Kernel78 wrote: | ti sconsiglio di usarlo come criterio per filtrare | a meno che non stai parlando di bloccare un router (almeno il mio non è in grado di cambiare mac) il filtro è poco utile e complicato.
Usare l'arp statico, il dhcp per mac, ed arpwatch invece è più utile e costruttivo. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
Posted: Mon Oct 12, 2009 4:46 pm Post subject: |
|
|
Eccomi di nuovo con dei problemi con iptables.
Sul router di alice (192.168.1.1) ho inoltrato tutte le richieste che arrivano sulla 5060 UDP e dalla 10000 alla 10040 UDP verso il server 192.168.1.2 (eth1).
Il server sull'interfaccia eth0 ha l'IP 10.0.0.1. Ora vorrei fare in modo che tutte le richieste che arrivano sul server sulla 5060 UDP e dalla 10000 alla 10040 UDP vengano inoltrate all'IP 10.0.0.10.
Ho provato la seguente regola di iptables ma non c'è verso che funzioni.
Code: | iptables -t nat -A PREROUTING -i eth1 -p udp -m multiport --dport 5060,10000:10040 -j DNAT --to-destination 10.0.0.10 |
Ho provato anche con "-i eth0", tante volte avessi sbagliato lì, ma non funziona.
Quale può essere il problema?
Grazie _________________ [HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
Posted: Sat Jun 05, 2010 5:20 pm Post subject: |
|
|
Aiuto,
ho una regola di iptables, nel mio file rules-save come la seguente:
Code: | [6:288] -A INPUT -s ! 10.0.0.2/32 -d 10.0.0.1/32 -p tcp -m tcp --dport 10000 -j DROP |
Vorrei fare in modo che anche l'indirizzo 10.0.0.3 possa fare richieste sulla porta 10000. Come posso aggiungere che l'INPUT -s sia diverso da 10.0.0.2 e da 10.0.0.3 ?
Devo per forza mettere un'altra regola del tipo:
Code: | iptables -A INPUT -s ! 10.0.0.3/32 -d 10.0.0.1/32 -p tcp -m tcp --dport 10000 -j DROP |
Ma poi non cozza con quella sopra?
Oppure posso droppare tutte le richieste sulla 10000 (però solo quelle provenienti dalla sottorete 10.0.0.0) e abilitare successivamente dagli IP che voglio.. Ma mi date una mano? _________________ [HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Sun Jun 06, 2010 9:21 am Post subject: |
|
|
Potresti pensare di usare una /30 ... in questo modo includi però anche il .1
Davide _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Sun Jun 06, 2010 9:28 am Post subject: |
|
|
fbcyborg wrote: |
Mi va anche bene tutto sommato! |
Perfetto ... sarebbe interessante vedere se iptables supporta qualcosa in stile wildcard mask ... che in queste situazioni sono più versatili _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
oRDeX Veteran
Joined: 19 Oct 2003 Posts: 1325 Location: Italy
|
Posted: Fri Jun 11, 2010 5:47 pm Post subject: |
|
|
Bhè iptables, in quanto firewall, deve essere il più semplice ed efficiente possibile..ricordiamoci che ogni pacchetto raggiunto dalla macchina attarversa le varie chain...quindi mettersi a valutare espressioni booleane comincerebbe a diventare pesante |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Sat Jun 12, 2010 6:45 pm Post subject: |
|
|
oRDeX wrote: | Bhè iptables, in quanto firewall, deve essere il più semplice ed efficiente possibile..ricordiamoci che ogni pacchetto raggiunto dalla macchina attarversa le varie chain...quindi mettersi a valutare espressioni booleane comincerebbe a diventare pesante |
Non penso che il problema sia il costo computazionale ... pensa solo a come viene deciso su quale interfaccia instradare un pacchetto in base all'AND tra indirizzo IP e Netmask _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
devilheart l33t
Joined: 17 Mar 2005 Posts: 848 Location: Villach, Austria
|
Posted: Wed Jun 16, 2010 11:51 am Post subject: |
|
|
fbcyborg wrote: | Non lo conosco, però a prima vista il mio intento era quello di dire: se la richiesta non proviene da 10.0.0.2 oppure da 10.0.0.3 droppa. Quindi volevo mettere un !(10.0.0.2 OR 10.0.0.3) invece che solo ! 10.0.0.2. Strano che non si possa fare, o meglio, mica lo so se è possibile. | puoi fare una chain con default policy drop e due regole che accettano il traffico da 10.0.0.2 e 10.0.0.3 |
|
Back to top |
|
|
|