[+] Jak zablokować przekierowanie iptables

Zagadnienia bezpieczeństwa w systemie
Globals
Posty: 45
Rejestracja: 21 maja 2011, 21:00

[+] Jak zablokować przekierowanie iptables

Post autor: Globals » 19 czerwca 2017, 21:28

Witam
Tak mam zrobione
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5994 -j DNAT --to 192.168.1.78:22
i chciałbym zablokować przekierowanie dla konkretnego ip np.47.52.0.0/16 i czy się da coś takiego zrobić ?
Ostatnio zmieniony 25 czerwca 2017, 12:33 przez Globals, łącznie zmieniany 1 raz.

Awatar użytkownika
dedito
Moderator
Posty: 2152
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito » 19 czerwca 2017, 22:04

Da się, przychodzą mi na myśl następujące rozwiązania:
- przed tą regułką utwórz regułkę RETURN dla tego IP
lub
- przed tą regułką utwórz analogiczną z DNAT dla tego IP kierującą na właściwe IP.
lub chyba najlepsze rozwiązanie
- zmodyfikuj regułkę dodając source ip z negacją (znak wykrzyknika).

Globals
Posty: 45
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals » 20 czerwca 2017, 19:15

Trochę to jeszcze to zmodyfikowałem ale dodając geoip ale wcale się teraz nie chce ten port 5994 z sieci wan
iptables -t nat -A PREROUTING -p tcp -m geoip ! --src-cc PL -i eth1 --dport 5994 -j DNAT --to 192.168.1.78:22

Awatar użytkownika
dedito
Moderator
Posty: 2152
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito » 20 czerwca 2017, 22:18

Zacznij bez geoip.

Globals
Posty: 45
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals » 21 czerwca 2017, 17:36

Dobra to działa
iptables -t nat -A PREROUTING -p tcp -i eth1 ! -s 47.52.0.0/16 --dport 5994 -j DNAT --to 192.168.1.78:22
blokuje mi 47.52.0.0/16. To dlaczego z geoip mi nie chciało blokowa gdzie zrobiłem błąd ?

Awatar użytkownika
dedito
Moderator
Posty: 2152
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito » 21 czerwca 2017, 19:57

Błędu nie dostrzegam.
Może jakaś wcześniejsza regułka wyłapuje.
Używasz -A czyli dopisujesz na koniec regułek.
Sprawdź używając -I.
Ewentualnie jeszcze uprość składnie do:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -m geoip ! --src-cc PL -j DNAT --to 192.168.1.78:22

Globals
Posty: 45
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals » 21 czerwca 2017, 21:31

Przy takim przykładzie nie da rady bo mam komunikat
iptables v1.6.0: Need TCP, UDP, SCTP or DCCP with port specification
wiec przerobiłem to dodając
iptables -t nat -A PREROUTING -p tcp -m geoip ! --src-cc PL -j DNAT --to 192.168.1.78:22
i przy ponownym restarcie nie miałem błędu ale to nie działa nawet z -I :confused:

Globals
Posty: 45
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals » 21 czerwca 2017, 21:44

Dobra mam
iptables -t nat -A PREROUTING -m geoip --src-cc PL -i eth1 -p tcp --dport 5994 -j DNAT --to 192.168.1.78:22
i to mi daje taki efekt jak chciałem czyli mogą wejść tylko Ip z Polski :)

Awatar użytkownika
dedito
Moderator
Posty: 2152
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito » 21 czerwca 2017, 21:55

No to trochę zamieszałeś. Sądziłem, że chodzi o wykluczenie polskich IP z tego przekierowania, na co wskazywał znak negacji przy adresie źródłowym. Chodziło jednak o coś dokładnie odwrotnego, aby tylko polskie IP były przekierowane.
W każdym razie ważne, że działa.
Oznacz więc wątek.

ODPOWIEDZ