[+] Jak zablokować przekierowanie iptables

Zagadnienia bezpieczeństwa w systemie
Globals
Posty: 61
Rejestracja: 21 maja 2011, 21:00

[+] Jak zablokować przekierowanie iptables

Post autor: Globals »

Witam
Tak mam zrobione
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5994 -j DNAT --to 192.168.1.78:22
i chciałbym zablokować przekierowanie dla konkretnego ip np.47.52.0.0/16 i czy się da coś takiego zrobić ?
Ostatnio zmieniony 25 czerwca 2017, 12:33 przez Globals, łącznie zmieniany 1 raz.
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito »

Da się, przychodzą mi na myśl następujące rozwiązania:
- przed tą regułką utwórz regułkę RETURN dla tego IP
lub
- przed tą regułką utwórz analogiczną z DNAT dla tego IP kierującą na właściwe IP.
lub chyba najlepsze rozwiązanie
- zmodyfikuj regułkę dodając source ip z negacją (znak wykrzyknika).
Globals
Posty: 61
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals »

Trochę to jeszcze to zmodyfikowałem ale dodając geoip ale wcale się teraz nie chce ten port 5994 z sieci wan
iptables -t nat -A PREROUTING -p tcp -m geoip ! --src-cc PL -i eth1 --dport 5994 -j DNAT --to 192.168.1.78:22
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito »

Zacznij bez geoip.
Globals
Posty: 61
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals »

Dobra to działa
iptables -t nat -A PREROUTING -p tcp -i eth1 ! -s 47.52.0.0/16 --dport 5994 -j DNAT --to 192.168.1.78:22
blokuje mi 47.52.0.0/16. To dlaczego z geoip mi nie chciało blokowa gdzie zrobiłem błąd ?
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito »

Błędu nie dostrzegam.
Może jakaś wcześniejsza regułka wyłapuje.
Używasz -A czyli dopisujesz na koniec regułek.
Sprawdź używając -I.
Ewentualnie jeszcze uprość składnie do:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -m geoip ! --src-cc PL -j DNAT --to 192.168.1.78:22
Globals
Posty: 61
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals »

Przy takim przykładzie nie da rady bo mam komunikat
iptables v1.6.0: Need TCP, UDP, SCTP or DCCP with port specification
wiec przerobiłem to dodając
iptables -t nat -A PREROUTING -p tcp -m geoip ! --src-cc PL -j DNAT --to 192.168.1.78:22
i przy ponownym restarcie nie miałem błędu ale to nie działa nawet z -I :confused:
Globals
Posty: 61
Rejestracja: 21 maja 2011, 21:00

Re: Jak zablokować przekierowanie iptables

Post autor: Globals »

Dobra mam
iptables -t nat -A PREROUTING -m geoip --src-cc PL -i eth1 -p tcp --dport 5994 -j DNAT --to 192.168.1.78:22
i to mi daje taki efekt jak chciałem czyli mogą wejść tylko Ip z Polski :)
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Jak zablokować przekierowanie iptables

Post autor: dedito »

No to trochę zamieszałeś. Sądziłem, że chodzi o wykluczenie polskich IP z tego przekierowania, na co wskazywał znak negacji przy adresie źródłowym. Chodziło jednak o coś dokładnie odwrotnego, aby tylko polskie IP były przekierowane.
W każdym razie ważne, że działa.
Oznacz więc wątek.
ODPOWIEDZ