ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Закрытие порта iptables
@ 2005-02-09 14:32 Jury Levykin
  2005-02-09 14:36 ` Serge Polkovnikov
                   ` (2 more replies)
  0 siblings, 3 replies; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 14:32 UTC (permalink / raw)
  To: community

Нужно закрыть FORWARD на определенный компьютер и порт
пишу такие правила:
iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP

запускаю фаервол:
# firewall-bridge
Starting firewalling, setting rules...
iptables v1.2.7a: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Unknown arg `--sport'
Try `iptables -h' or 'iptables --help' for more information.

Что я делаю неправильно?



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
@ 2005-02-09 14:36 ` Serge Polkovnikov
  2005-02-09 14:45   ` Jury Levykin
  2005-02-09 15:19 ` Maxim Tyurin
  2005-02-10  8:26 ` Alexey Morsov
  2 siblings, 1 reply; 13+ messages in thread
From: Serge Polkovnikov @ 2005-02-09 14:36 UTC (permalink / raw)
  To: community

середа 09 лютий 2005 16:32, Jury Levykin Ви написали:
> Нужно закрыть FORWARD на определенный компьютер и порт
> пишу такие правила:
> iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
> iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP
>
> запускаю фаервол:
> # firewall-bridge
> Starting firewalling, setting rules...
> iptables v1.2.7a: Unknown arg `--dport'
> Try `iptables -h' or 'iptables --help' for more information.
> iptables v1.2.7a: Unknown arg `--sport'
> Try `iptables -h' or 'iptables --help' for more information.
>
> Что я делаю неправильно?
Забыл указать тип протокола (tcp, udp)?
-- 
Сергей Полковников


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 14:36 ` Serge Polkovnikov
@ 2005-02-09 14:45   ` Jury Levykin
  2005-02-09 15:26     ` Serge Polkovnikov
  0 siblings, 1 reply; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 14:45 UTC (permalink / raw)
  To: community

Serge Polkovnikov пишет:

>Забыл указать тип протокола (tcp, udp)?
>  
>
если написать правила с -p tcp  и -p udp
они применяются но этот порт отвечает через telnet ?

если написать -p all незнаю можно так или нет - получаю ту же ошибку как 
если не писать не чего.


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
  2005-02-09 14:36 ` Serge Polkovnikov
@ 2005-02-09 15:19 ` Maxim Tyurin
  2005-02-10  7:07   ` kastelli
  2005-02-10  8:26 ` Alexey Morsov
  2 siblings, 1 reply; 13+ messages in thread
From: Maxim Tyurin @ 2005-02-09 15:19 UTC (permalink / raw)
  To: community

Jury Levykin <altcomm@list.ru> writes:

> Нужно закрыть FORWARD на определенный компьютер и порт
> пишу такие правила:
> iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
> iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP
>
> запускаю фаервол:
> # firewall-bridge
> Starting firewalling, setting rules...
> iptables v1.2.7a: Unknown arg `--dport'
> Try `iptables -h' or 'iptables --help' for more information.
> iptables v1.2.7a: Unknown arg `--sport'
> Try `iptables -h' or 'iptables --help' for more information.
>
> Что я делаю неправильно?

Протокол не указал.
-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 14:45   ` Jury Levykin
@ 2005-02-09 15:26     ` Serge Polkovnikov
  2005-02-09 17:07       ` Jury Levykin
  0 siblings, 1 reply; 13+ messages in thread
From: Serge Polkovnikov @ 2005-02-09 15:26 UTC (permalink / raw)
  To: community

середа 09 лютий 2005 16:45, Jury Levykin Ви написали:
> если написать правила с -p tcp  и -p udp
> они применяются но этот порт отвечает через telnet ?
не понял вопроса

-- 
Сергей Полковников


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 15:26     ` Serge Polkovnikov
@ 2005-02-09 17:07       ` Jury Levykin
  2005-02-09 17:39         ` Maxim Tyurin
  0 siblings, 1 reply; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 17:07 UTC (permalink / raw)
  To: community

Serge Polkovnikov пишет:

>середа 09 лютий 2005 16:45, Jury Levykin Ви написали:
>  
>
>>если написать правила с -p tcp  и -p udp
>>они применяются но этот порт отвечает через telnet ?
>>    
>>
>не понял вопроса
>  
>
В этом случае правила применяются их можно увидеть через
# iptables -L -n -v | grep <IP address>, но набрав
$ telnet <host> <portNumber>
я получаю ответ - приглашение вводить команды,
а следовательно этот порт все еще открыт.

Вопрос в том почему порт не перекрывается?
Все обращения к этому хосту идут через FORWARD на фаерволе.


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 17:07       ` Jury Levykin
@ 2005-02-09 17:39         ` Maxim Tyurin
  2005-02-09 19:06           ` Jury Levykin
  0 siblings, 1 reply; 13+ messages in thread
From: Maxim Tyurin @ 2005-02-09 17:39 UTC (permalink / raw)
  To: community

Jury Levykin <altcomm@list.ru> writes:
\scip
> В этом случае правила применяются их можно увидеть через
> # iptables -L -n -v | grep <IP address>, но набрав
> $ telnet <host> <portNumber>
> я получаю ответ - приглашение вводить команды,
> а следовательно этот порт все еще открыт.
>
> Вопрос в том почему порт не перекрывается?
> Все обращения к этому хосту идут через FORWARD на фаерволе.

Прочитай iptables-tutorial

А сначала попробуй добавить эти 2 правила не с -A, а с -I

Может у тебя сначала весть forward траффик разрешается.
-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 17:39         ` Maxim Tyurin
@ 2005-02-09 19:06           ` Jury Levykin
  0 siblings, 0 replies; 13+ messages in thread
From: Jury Levykin @ 2005-02-09 19:06 UTC (permalink / raw)
  To: community

Maxim Tyurin пишет:

>Прочитай iptables-tutorial
>
>А сначала попробуй добавить эти 2 правила не с -A, а с -I
>  
>
Завтра попробую.

>Может у тебя сначала весть forward траффик разрешается.
>  
>
Нет, в начале, как обычно запрет всего по всем цепочкам.
Потом я открываю все что фарвордится на этот IP и MAC адрес.
А сейчас возникла необходимость прикрыть один порт.


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 15:19 ` Maxim Tyurin
@ 2005-02-10  7:07   ` kastelli
  2005-02-10  8:35     ` kastelli
  0 siblings, 1 reply; 13+ messages in thread
From: kastelli @ 2005-02-10  7:07 UTC (permalink / raw)
  To: community

--skip--

telnet работает по ТСР-порту 23, следдовательно правило должно выглядеть так:

iptables -A FORWARD -s $COMPUTER7_IP --dport 23 -j DROP


тогда $COMPUTER7_IP не сможет пойти telnet-ом куда-либо... если нужно, чтоб к 
нему никто не ходил, то пишем так:

iptables -A FORWARD -d $COMPUTER7_IP --dport 23 -j DROP



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
  2005-02-09 14:36 ` Serge Polkovnikov
  2005-02-09 15:19 ` Maxim Tyurin
@ 2005-02-10  8:26 ` Alexey Morsov
  2005-02-11  8:21   ` Jury Levykin
  2 siblings, 1 reply; 13+ messages in thread
From: Alexey Morsov @ 2005-02-10  8:26 UTC (permalink / raw)
  To: community



Jury Levykin wrote:
> Нужно закрыть FORWARD на определенный компьютер и порт
> пишу такие правила:
> iptables -A FORWARD -s $COMPUTER7_IP --dport $DROPPORT -j DROP
добавить -d 0/0
тут вы пытаетесь запретить с COMPUTER7 ходить куда-то на порт DROPPORT - 
imho бессмыслица...
Вам же нужно закрыть порт на компьютере!
Ну так и закройте
> iptables -A FORWARD -d $COMPUTER7_IP --sport $DROPPORT -j DROP
Добавить -s 0/0
указать протокол (можно -p all)

Вообщем - попробуйте так:
iptables -A FORWARD -p all -s $COMPUTER7_IP --sport $DROPPORT -d 0/0 -j DROP
iptables -A FORWARD -p all -s 0/0 -d $COMPUTER7_IP --dport $DROPPORT -j DROP

А вообще лучше сначал все закрыть а потом открыть что-нужно

-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-10  7:07   ` kastelli
@ 2005-02-10  8:35     ` kastelli
  0 siblings, 0 replies; 13+ messages in thread
From: kastelli @ 2005-02-10  8:35 UTC (permalink / raw)
  To: community

В сообщении от Четверг 10 Февраль 2005 09:07 kastelli@smtp.ru написал(a):

> --skip--


> telnet работает по ТСР-порту 23, следдовательно правило должно выглядеть

> так:



> iptables -A FORWARD -s $COMPUTER7_IP --dport 23 -j DROP

поправочка: 
 iptables -A FORWARD -p tcp -s $COMPUTER7_IP --dport 23 -j DROP


> тогда $COMPUTER7_IP не сможет пойти telnet-ом куда-либо... если нужно, чтоб

> к нему никто не ходил, то пишем так:


> iptables -A FORWARD -d $COMPUTER7_IP --dport 23 -j DROP

аналогично:
 iptables -A FORWARD -p tcp -d $COMPUTER7_IP --dport 23 -j DROP

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-10  8:26 ` Alexey Morsov
@ 2005-02-11  8:21   ` Jury Levykin
  2005-02-11  8:26     ` Serge Polkovnikov
  0 siblings, 1 reply; 13+ messages in thread
From: Jury Levykin @ 2005-02-11  8:21 UTC (permalink / raw)
  To: community

Alexey Morsov пишет:

> Добавить -s 0/0
> указать протокол (можно -p all)
>
> Вообщем - попробуйте так:
> iptables -A FORWARD -p all -s $COMPUTER7_IP --sport $DROPPORT -d 0/0 
> -j DROP
> iptables -A FORWARD -p all -s 0/0 -d $COMPUTER7_IP --dport $DROPPORT 
> -j DROP

Спасибо, помогло!

Но с -p all все та же ошибка:
iptables v1.2.7a: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Unknown arg `--sport'
Try `iptables -h' or 'iptables --help' for more information.

Почемуто iptables не хочет применять правила для всех портов :(

Я написал две пары правил, для протоколов tcp и udp, думаю этого достаточно.


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] Закрытие порта iptables
  2005-02-11  8:21   ` Jury Levykin
@ 2005-02-11  8:26     ` Serge Polkovnikov
  0 siblings, 0 replies; 13+ messages in thread
From: Serge Polkovnikov @ 2005-02-11  8:26 UTC (permalink / raw)
  To: community

п'ятниця 11 лютий 2005 10:21, Jury Levykin Ви написали:
> Спасибо, помогло!
>
> Но с -p all все та же ошибка:
> iptables v1.2.7a: Unknown arg `--dport'
> Try `iptables -h' or 'iptables --help' for more information.
> iptables v1.2.7a: Unknown arg `--sport'
> Try `iptables -h' or 'iptables --help' for more information.
>
> Почемуто iptables не хочет применять правила для всех портов :(
Потому что не во всех типах протоколов есть такое понятие как порт.

> Я написал две пары правил, для протоколов tcp и udp, думаю этого
> достаточно.

-- 
Сергей Полковников


^ permalink raw reply	[flat|nested] 13+ messages in thread

end of thread, other threads:[~2005-02-11  8:26 UTC | newest]

Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-02-09 14:32 [Comm] Закрытие порта iptables Jury Levykin
2005-02-09 14:36 ` Serge Polkovnikov
2005-02-09 14:45   ` Jury Levykin
2005-02-09 15:26     ` Serge Polkovnikov
2005-02-09 17:07       ` Jury Levykin
2005-02-09 17:39         ` Maxim Tyurin
2005-02-09 19:06           ` Jury Levykin
2005-02-09 15:19 ` Maxim Tyurin
2005-02-10  7:07   ` kastelli
2005-02-10  8:35     ` kastelli
2005-02-10  8:26 ` Alexey Morsov
2005-02-11  8:21   ` Jury Levykin
2005-02-11  8:26     ` Serge Polkovnikov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git