iptables не различает интерфейсы
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
iptables не различает интерфейсы - 2010-09-20 23:50:31.510000
|
|
|
Kavabango
Сообщений: 80
Оценки: 0
Присоединился: 2008-10-20 18:36:46.690000
|
Собственно проблема. У меня 4ре сетевых интерфейса. Нужно чтоб для каждого правила были свои.
Как пример пишу:
$IPTABLES -A INPUT -m state --state NEW -i $LAN -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -i $WLAN -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -i $VPN -j DROP
$IPTABLES -A INPUT -m state --state NEW -i $WAN -j REJECT
B итоге на выходе получаю правила:
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
DROP all -- anywhere anywhere state NEW
REJECT all -- anywhere anywhere state NEW reject-with icmp-port-unreachable
Т.е. разницы между интерфейсами iptables не видит. Это нормально? Тогда зачем вообще такая опция.
Если задавать диапазоны IP, то правила трактуются правильно, но у меня это выйдет в 7 раз длинней.
Как сделать чтоб iptables понял что это правило только для определенного сетевого интерфейса?
|
|
|
|
|
RE: iptables не различает интерфейсы - 2010-09-21 00:16:48.170000
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
Попробуй интереса ради, заменить $LAN, $WLAN и пр., на имена интерфейсов.
|
|
|
|
|
RE: iptables не различает интерфейсы - 2010-09-21 00:30:16.400000
|
|
|
Kavabango
Сообщений: 80
Оценки: 0
Присоединился: 2008-10-20 18:36:46.690000
|
Это конечно пробовал.
Пробовал и полностью скриптом все правила разом задавать и по одному через консоль. Разницы никакой.
|
|
|
|
|
RE: iptables не различает интерфейсы - 2010-09-21 00:55:30.940000
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
Слушай, а почему ты решил, что в правилах не учитывается интерфейс?target prot opt source destination target – это цепочка
prot – протокол
source – ip-адрес источника
destination – ip-адрес приёмника.
Тут ничего нет и не должно быть про интерфейс. ;)
|
|
|
|
|
RE: iptables не различает интерфейсы - 2010-09-21 07:15:14.910000
|
|
|
Kavabango
Сообщений: 80
Оценки: 0
Присоединился: 2008-10-20 18:36:46.690000
|
Да, поначалу я тоже так подумал, но проблема в том, что когда правила начинают работать, он действительно трактует ACCEPT anywhere как разрешено отовсюду без учета интерфейса. Для примера пишу в пустой цепочке(политика по умолчанию ACCEPT)
iptables -A INPUT -i eth0 -p TCP -s 0/0 –dport 0:1023 -j ACCEPT
iptables -A INPUT -i eth2 -p TCP -s 0/0 –dport 0:1023 -j DROP
Запускаю nmap из подсети с eth2, и он мне показывает открытые порты samba,dhcp, etc…
Хотя по сути должно выполнятся 2е правило и пакеты сбрасываться. Если поменять правила местами, то я даже из подсети eth0 на samba зайти не могу.
У меня только одно предположение сейчас, что я забыл в ядре включить какую то опцию netfilter'a. Но раньше если чего то не хватало, он ругался когда правило пишешь. Эти правила проходят нормально.
Ничего не понимаю:@
|
|
|
|
|
|
