[+] czysty filtr pakietów bez uwzględniania stanów
: 19 maja 2009, 23:46
Cześć,
mam mały problem. Chcę przefiltrować wejściowy ruch na jednym z interfejsów. Konkretne src, dst oraz ,,protocol type''. Zainstalowałem bestie o nazwie fwbuilder i sprawa wygląda tak, mam topologię:
Chcę zablokować powiedzmy ICMP przychodzące od host1 z eth1 na adres host2 interfejsu eth2.
Po stworzeniu odpowiedniej reguły (fw typu iptables) działa połowicznie:
host1 owszem nie może pingować, ale już host2 gdy inicjuję ping otrzymuję odpowiedź.
Typ ICMP jest na ,,any'' więc problem jest z puszczaniem ruchu, dla którego są wpisy stanów. Pytanie jak to rozwiązać? W fwbuilder jest opcja:tylko problem jest taki że gdy odznaczę tę opcję to Linux nie akceptuje żadnych połączeń, nawet na localhost.
Najprościej mówiąc chcę zrobić czysty filtr pakietów bez uwzględniania stanów. Dodatkowo chcę dać warunki czasowe ale to już szczegół. Myślałem nad wyłączeniem systemowym ,,ip_conntrack'' ale nie znalazłem nic ciekawego.
Proszę o podpowiedz: kod do iptables ewentualnie realizację w fwbuilder (v.209).
[Dodano: 2009-05-20, 00:17]
Poradziłem sobie za pomocą czystego iptables. Muszę się tego trochę poduczyć.
Opcja ,,ESTABLISHED'' i jest dobrze. Ale widzę, że w fwbuilderze nie ma nawet takiej opcji i domyślnie wypisuje tylko ,,NEW''. Powinna być taka reguła jako opcja - pewno w nowszej wersji już jest.
mam mały problem. Chcę przefiltrować wejściowy ruch na jednym z interfejsów. Konkretne src, dst oraz ,,protocol type''. Zainstalowałem bestie o nazwie fwbuilder i sprawa wygląda tak, mam topologię:
Kod: Zaznacz cały
host1(eth1)--------(eth2)host2Po stworzeniu odpowiedniej reguły (fw typu iptables) działa połowicznie:
host1 owszem nie może pingować, ale już host2 gdy inicjuję ping otrzymuję odpowiedź.
Typ ICMP jest na ,,any'' więc problem jest z puszczaniem ruchu, dla którego są wpisy stanów. Pytanie jak to rozwiązać? W fwbuilder jest opcja:
Kod: Zaznacz cały
accept ESTABLISHED and RELATED packets before firs ruleNajprościej mówiąc chcę zrobić czysty filtr pakietów bez uwzględniania stanów. Dodatkowo chcę dać warunki czasowe ale to już szczegół. Myślałem nad wyłączeniem systemowym ,,ip_conntrack'' ale nie znalazłem nic ciekawego.
Proszę o podpowiedz: kod do iptables ewentualnie realizację w fwbuilder (v.209).
[Dodano: 2009-05-20, 00:17]
Poradziłem sobie za pomocą czystego iptables. Muszę się tego trochę poduczyć.
Opcja ,,ESTABLISHED'' i jest dobrze. Ale widzę, że w fwbuilderze nie ma nawet takiej opcji i domyślnie wypisuje tylko ,,NEW''. Powinna być taka reguła jako opcja - pewno w nowszej wersji już jest.