Strona 1 z 1

[+] Jak zablokować przekierowanie iptables

: 19 czerwca 2017, 21:28
autor: Globals
Witam
Tak mam zrobione
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5994 -j DNAT --to 192.168.1.78:22
i chciałbym zablokować przekierowanie dla konkretnego ip np.47.52.0.0/16 i czy się da coś takiego zrobić ?

Re: Jak zablokować przekierowanie iptables

: 19 czerwca 2017, 22:04
autor: dedito
Da się, przychodzą mi na myśl następujące rozwiązania:
- przed tą regułką utwórz regułkę RETURN dla tego IP
lub
- przed tą regułką utwórz analogiczną z DNAT dla tego IP kierującą na właściwe IP.
lub chyba najlepsze rozwiązanie
- zmodyfikuj regułkę dodając source ip z negacją (znak wykrzyknika).

Re: Jak zablokować przekierowanie iptables

: 20 czerwca 2017, 19:15
autor: Globals
Trochę to jeszcze to zmodyfikowałem ale dodając geoip ale wcale się teraz nie chce ten port 5994 z sieci wan
iptables -t nat -A PREROUTING -p tcp -m geoip ! --src-cc PL -i eth1 --dport 5994 -j DNAT --to 192.168.1.78:22

Re: Jak zablokować przekierowanie iptables

: 20 czerwca 2017, 22:18
autor: dedito
Zacznij bez geoip.

Re: Jak zablokować przekierowanie iptables

: 21 czerwca 2017, 17:36
autor: Globals
Dobra to działa
iptables -t nat -A PREROUTING -p tcp -i eth1 ! -s 47.52.0.0/16 --dport 5994 -j DNAT --to 192.168.1.78:22
blokuje mi 47.52.0.0/16. To dlaczego z geoip mi nie chciało blokowa gdzie zrobiłem błąd ?

Re: Jak zablokować przekierowanie iptables

: 21 czerwca 2017, 19:57
autor: dedito
Błędu nie dostrzegam.
Może jakaś wcześniejsza regułka wyłapuje.
Używasz -A czyli dopisujesz na koniec regułek.
Sprawdź używając -I.
Ewentualnie jeszcze uprość składnie do:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -m geoip ! --src-cc PL -j DNAT --to 192.168.1.78:22

Re: Jak zablokować przekierowanie iptables

: 21 czerwca 2017, 21:31
autor: Globals
Przy takim przykładzie nie da rady bo mam komunikat
iptables v1.6.0: Need TCP, UDP, SCTP or DCCP with port specification
wiec przerobiłem to dodając
iptables -t nat -A PREROUTING -p tcp -m geoip ! --src-cc PL -j DNAT --to 192.168.1.78:22
i przy ponownym restarcie nie miałem błędu ale to nie działa nawet z -I :confused:

Re: Jak zablokować przekierowanie iptables

: 21 czerwca 2017, 21:44
autor: Globals
Dobra mam
iptables -t nat -A PREROUTING -m geoip --src-cc PL -i eth1 -p tcp --dport 5994 -j DNAT --to 192.168.1.78:22
i to mi daje taki efekt jak chciałem czyli mogą wejść tylko Ip z Polski :)

Re: Jak zablokować przekierowanie iptables

: 21 czerwca 2017, 21:55
autor: dedito
No to trochę zamieszałeś. Sądziłem, że chodzi o wykluczenie polskich IP z tego przekierowania, na co wskazywał znak negacji przy adresie źródłowym. Chodziło jednak o coś dokładnie odwrotnego, aby tylko polskie IP były przekierowane.
W każdym razie ważne, że działa.
Oznacz więc wątek.