* [Comm] Закрытие порта iptables
@ 2005-02-09 14:32 Jury Levykin
2005-02-09 14:36 ` Serge Polkovnikov
` (2 more replies)
0 siblings, 3 replies; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 14:32 UTC (permalink / raw)
To: community
Нужно закрыть FORWARD на определенный компьютер и порт
пишу такие правила:
iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP
запускаю фаервол:
# firewall-bridge
Starting firewalling, setting rules...
iptables v1.2.7a: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Unknown arg `--sport'
Try `iptables -h' or 'iptables --help' for more information.
Что я делаю неправильно?
^ permalink raw reply [flat|nested] 13+ messages in thread* Re: [Comm] Закрытие порта iptables
2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
@ 2005-02-09 14:36 ` Serge Polkovnikov
2005-02-09 14:45 ` Jury Levykin
2005-02-09 15:19 ` Maxim Tyurin
2005-02-10 8:26 ` Alexey Morsov
2 siblings, 1 reply; 13+ messages in thread
From: Serge Polkovnikov @ 2005-02-09 14:36 UTC (permalink / raw)
To: community
середа 09 лютий 2005 16:32, Jury Levykin Ви написали:
> Нужно закрыть FORWARD на определенный компьютер и порт
> пишу такие правила:
> iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
> iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP
>
> запускаю фаервол:
> # firewall-bridge
> Starting firewalling, setting rules...
> iptables v1.2.7a: Unknown arg `--dport'
> Try `iptables -h' or 'iptables --help' for more information.
> iptables v1.2.7a: Unknown arg `--sport'
> Try `iptables -h' or 'iptables --help' for more information.
>
> Что я делаю неправильно?
Забыл указать тип протокола (tcp, udp)?
--
Сергей Полковников
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 14:36 ` Serge Polkovnikov
@ 2005-02-09 14:45 ` Jury Levykin
2005-02-09 15:26 ` Serge Polkovnikov
0 siblings, 1 reply; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 14:45 UTC (permalink / raw)
To: community
Serge Polkovnikov пишет:
>Забыл указать тип протокола (tcp, udp)?
>
>
если написать правила с -p tcp и -p udp
они применяются но этот порт отвечает через telnet ?
если написать -p all незнаю можно так или нет - получаю ту же ошибку как
если не писать не чего.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 14:45 ` Jury Levykin
@ 2005-02-09 15:26 ` Serge Polkovnikov
2005-02-09 17:07 ` Jury Levykin
0 siblings, 1 reply; 13+ messages in thread
From: Serge Polkovnikov @ 2005-02-09 15:26 UTC (permalink / raw)
To: community
середа 09 лютий 2005 16:45, Jury Levykin Ви написали:
> если написать правила с -p tcp и -p udp
> они применяются но этот порт отвечает через telnet ?
не понял вопроса
--
Сергей Полковников
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 15:26 ` Serge Polkovnikov
@ 2005-02-09 17:07 ` Jury Levykin
2005-02-09 17:39 ` Maxim Tyurin
0 siblings, 1 reply; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 17:07 UTC (permalink / raw)
To: community
Serge Polkovnikov пишет:
>середа 09 лютий 2005 16:45, Jury Levykin Ви написали:
>
>
>>если написать правила с -p tcp и -p udp
>>они применяются но этот порт отвечает через telnet ?
>>
>>
>не понял вопроса
>
>
В этом случае правила применяются их можно увидеть через
# iptables -L -n -v | grep <IP address>, но набрав
$ telnet <host> <portNumber>
я получаю ответ - приглашение вводить команды,
а следовательно этот порт все еще открыт.
Вопрос в том почему порт не перекрывается?
Все обращения к этому хосту идут через FORWARD на фаерволе.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 17:07 ` Jury Levykin
@ 2005-02-09 17:39 ` Maxim Tyurin
2005-02-09 19:06 ` Jury Levykin
0 siblings, 1 reply; 13+ messages in thread
From: Maxim Tyurin @ 2005-02-09 17:39 UTC (permalink / raw)
To: community
Jury Levykin <altcomm@list.ru> writes:
\scip
> В этом случае правила применяются их можно увидеть через
> # iptables -L -n -v | grep <IP address>, но набрав
> $ telnet <host> <portNumber>
> я получаю ответ - приглашение вводить команды,
> а следовательно этот порт все еще открыт.
>
> Вопрос в том почему порт не перекрывается?
> Все обращения к этому хосту идут через FORWARD на фаерволе.
Прочитай iptables-tutorial
А сначала попробуй добавить эти 2 правила не с -A, а с -I
Может у тебя сначала весть forward траффик разрешается.
--
With Best Regards, Maxim Tyurin aka Bungarus
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 17:39 ` Maxim Tyurin
@ 2005-02-09 19:06 ` Jury Levykin
0 siblings, 0 replies; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 19:06 UTC (permalink / raw)
To: community
Maxim Tyurin пишет:
>Прочитай iptables-tutorial
>
>А сначала попробуй добавить эти 2 правила не с -A, а с -I
>
>
Завтра попробую.
>Может у тебя сначала весть forward траффик разрешается.
>
>
Нет, в начале, как обычно запрет всего по всем цепочкам.
Потом я открываю все что фарвордится на этот IP и MAC адрес.
А сейчас возникла необходимость прикрыть один порт.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
2005-02-09 14:36 ` Serge Polkovnikov
@ 2005-02-09 15:19 ` Maxim Tyurin
2005-02-10 7:07 ` kastelli
2005-02-10 8:26 ` Alexey Morsov
2 siblings, 1 reply; 13+ messages in thread
From: Maxim Tyurin @ 2005-02-09 15:19 UTC (permalink / raw)
To: community
Jury Levykin <altcomm@list.ru> writes:
> Нужно закрыть FORWARD на определенный компьютер и порт
> пишу такие правила:
> iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
> iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP
>
> запускаю фаервол:
> # firewall-bridge
> Starting firewalling, setting rules...
> iptables v1.2.7a: Unknown arg `--dport'
> Try `iptables -h' or 'iptables --help' for more information.
> iptables v1.2.7a: Unknown arg `--sport'
> Try `iptables -h' or 'iptables --help' for more information.
>
> Что я делаю неправильно?
Протокол не указал.
--
With Best Regards, Maxim Tyurin aka Bungarus
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 15:19 ` Maxim Tyurin
@ 2005-02-10 7:07 ` kastelli
2005-02-10 8:35 ` kastelli
0 siblings, 1 reply; 13+ messages in thread
From: kastelli @ 2005-02-10 7:07 UTC (permalink / raw)
To: community
--skip--
telnet работает по ТСР-порту 23, следдовательно правило должно выглядеть так:
iptables -A FORWARD -s $COMPUTER7_IP --dport 23 -j DROP
тогда $COMPUTER7_IP не сможет пойти telnet-ом куда-либо... если нужно, чтоб к
нему никто не ходил, то пишем так:
iptables -A FORWARD -d $COMPUTER7_IP --dport 23 -j DROP
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-10 7:07 ` kastelli
@ 2005-02-10 8:35 ` kastelli
0 siblings, 0 replies; 13+ messages in thread
From: kastelli @ 2005-02-10 8:35 UTC (permalink / raw)
To: community
В сообщении от Четверг 10 Февраль 2005 09:07 kastelli@smtp.ru написал(a):
> --skip--
> telnet работает по ТСР-порту 23, следдовательно правило должно выглядеть
> так:
> iptables -A FORWARD -s $COMPUTER7_IP --dport 23 -j DROP
поправочка:
iptables -A FORWARD -p tcp -s $COMPUTER7_IP --dport 23 -j DROP
> тогда $COMPUTER7_IP не сможет пойти telnet-ом куда-либо... если нужно, чтоб
> к нему никто не ходил, то пишем так:
> iptables -A FORWARD -d $COMPUTER7_IP --dport 23 -j DROP
аналогично:
iptables -A FORWARD -p tcp -d $COMPUTER7_IP --dport 23 -j DROP
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
2005-02-09 14:36 ` Serge Polkovnikov
2005-02-09 15:19 ` Maxim Tyurin
@ 2005-02-10 8:26 ` Alexey Morsov
2005-02-11 8:21 ` Jury Levykin
2 siblings, 1 reply; 13+ messages in thread
From: Alexey Morsov @ 2005-02-10 8:26 UTC (permalink / raw)
To: community
Jury Levykin wrote:
> Нужно закрыть FORWARD на определенный компьютер и порт
> пишу такие правила:
> iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
добавить -d 0/0
тут вы пытаетесь запретить с COMPUTER7 ходить куда-то на порт DROPPORT -
imho бессмыслица...
Вам же нужно закрыть порт на компьютере!
Ну так и закройте
> iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP
Добавить -s 0/0
указать протокол (можно -p all)
Вообщем - попробуйте так:
iptables -A FORWARD -p all -s $COMPUTER7_IP --sport $DROPPORT -d 0/0 -j DROP
iptables -A FORWARD -p all -s 0/0 -d $COMPUTER7_IP --dport $DROPPORT -j DROP
А вообще лучше сначал все закрыть а потом открыть что-нужно
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-10 8:26 ` Alexey Morsov
@ 2005-02-11 8:21 ` Jury Levykin
2005-02-11 8:26 ` Serge Polkovnikov
0 siblings, 1 reply; 13+ messages in thread
From: Jury Levykin @ 2005-02-11 8:21 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
> Добавить -s 0/0
> указать протокол (можно -p all)
>
> Вообщем - попробуйте так:
> iptables -A FORWARD -p all -s $COMPUTER7_IP --sport $DROPPORT -d 0/0
> -j DROP
> iptables -A FORWARD -p all -s 0/0 -d $COMPUTER7_IP --dport $DROPPORT
> -j DROP
Спасибо, помогло!
Но с -p all все та же ошибка:
iptables v1.2.7a: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Unknown arg `--sport'
Try `iptables -h' or 'iptables --help' for more information.
Почемуто iptables не хочет применять правила для всех портов :(
Я написал две пары правил, для протоколов tcp и udp, думаю этого достаточно.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Закрытие порта iptables
2005-02-11 8:21 ` Jury Levykin
@ 2005-02-11 8:26 ` Serge Polkovnikov
0 siblings, 0 replies; 13+ messages in thread
From: Serge Polkovnikov @ 2005-02-11 8:26 UTC (permalink / raw)
To: community
п'ятниця 11 лютий 2005 10:21, Jury Levykin Ви написали:
> Спасибо, помогло!
>
> Но с -p all все та же ошибка:
> iptables v1.2.7a: Unknown arg `--dport'
> Try `iptables -h' or 'iptables --help' for more information.
> iptables v1.2.7a: Unknown arg `--sport'
> Try `iptables -h' or 'iptables --help' for more information.
>
> Почемуто iptables не хочет применять правила для всех портов :(
Потому что не во всех типах протоколов есть такое понятие как порт.
> Я написал две пары правил, для протоколов tcp и udp, думаю этого
> достаточно.
--
Сергей Полковников
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2005-02-11 8:26 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
2005-02-09 14:36 ` Serge Polkovnikov
2005-02-09 14:45 ` Jury Levykin
2005-02-09 15:26 ` Serge Polkovnikov
2005-02-09 17:07 ` Jury Levykin
2005-02-09 17:39 ` Maxim Tyurin
2005-02-09 19:06 ` Jury Levykin
2005-02-09 15:19 ` Maxim Tyurin
2005-02-10 7:07 ` kastelli
2005-02-10 8:35 ` kastelli
2005-02-10 8:26 ` Alexey Morsov
2005-02-11 8:21 ` Jury Levykin
2005-02-11 8:26 ` Serge Polkovnikov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git