URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97009
[ Назад ]

Исходное сообщение
"iptables+ipset"
Отправлено ramzes3000 , 02-Окт-17 15:44

Здравствуйте.
Связка iptables+ipset
#создаем и добавляем сеть для блокировки
ipset -N dropnet nethash
ipset -A dropnet x.x.x.x/24
# блокируем
-A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
#создаем и добавляем адреса для исключения
ipset -N allowip ipthash
ipset -A allowip x.x.x.x
ipset -A allowip xx.xx.xx.xx
Подскажите, как в iptables разрешить dropnet только для allowip ?

Содержание

iptables+ipset,Andrey Mitrofanov, 16:01 , 02-Окт-17
- iptables+ipset,ramzes3000, 16:18 , 02-Окт-17
  - iptables+ipset,Andrey Mitrofanov, 18:38 , 02-Окт-17
    - iptables+ipset,ramzes3000, 18:41 , 02-Окт-17

Сообщения в этом обсуждении

"iptables+ipset"
Отправлено Andrey Mitrofanov , 02-Окт-17 16:01

>[оверквотинг удален]
> #создаем и добавляем сеть для блокировки
> ipset -N dropnet nethash
> ipset -A dropnet x.x.x.x/24
> # блокируем
> -A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
> #создаем и добавляем адреса для исключения
> ipset -N allowip ipthash
> ipset -A allowip x.x.x.x
> ipset -A allowip xx.xx.xx.xx
> Подскажите, как в iptables разрешить dropnet только для allowip ?
Ну, например, обойти -j DROP для разрешённых -- в отдельной цепочке
-A FORWARD -o eth0.1 -j DROP2SET
-A DROP2SET -m set --set allowip src -j RETURN
-A DROP2SET -m set --set dropnet dst -j DROP

"iptables+ipset"
Отправлено ramzes3000 , 02-Окт-17 16:18

>[оверквотинг удален]
>> -A FORWARD -m set -o eth0.1 -j DROP --set dropnet dst
>> #создаем и добавляем адреса для исключения
>> ipset -N allowip ipthash
>> ipset -A allowip x.x.x.x
>> ipset -A allowip xx.xx.xx.xx
>> Подскажите, как в iptables разрешить dropnet только для allowip ?
> Ну, например, обойти -j DROP для разрешённых -- в отдельной цепочке
> -A FORWARD -o eth0.1 -j DROP2SET
> -A DROP2SET -m set --set allowip src -j RETURN
> -A DROP2SET -m set --set dropnet dst -j DROP
Хочется одной строкой типа allowip разрешить dropnet

"iptables+ipset"
Отправлено Andrey Mitrofanov , 02-Окт-17 18:38

> Хочется одной строкой типа allowip разрешить dropnet
Зачем?...
Ну, на,
iptables -A FORWARD -m set ! --match-set Locals src -m set --match-set Remotes dst -j DROP
Полегчало? (-m set два раза _не_ нужно afaui)
https://utcc.utoronto.ca/~cks/space/blog/linux/IptablesIpset...
https://duckduckgo.com/?q=iptables+multiple+ipset+conditions...

"iptables+ipset"
Отправлено ramzes3000 , 02-Окт-17 18:41

>> Хочется одной строкой типа allowip разрешить dropnet
> Зачем?...
> Ну, на,
> iptables -A FORWARD -m set ! --match-set Locals src
> -m set --match-set Remotes dst -j DROP
> Полегчало? (-m set два раза _не_ нужно afaui)
> https://utcc.utoronto.ca/~cks/space/blog/linux/IptablesIpset...
> https://duckduckgo.com/?q=iptables+multiple+ipset+conditions...
Спасибо!
Отпустило.