At Tue, 18 Jun 2013 20:15:23 +0400,
Alex Dubinin wrote:
>
> [1 ]
> 17.06.2013 12:39, Victor Wagner пишет:
> > On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:
> >
> >>> mac меняется легко.
> >> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> >> только с перечисленных M
17.06.2013 12:39, Victor Wagner пишет:
> On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:
>
>>> mac меняется легко.
>> Ну не как способ защиты, а идея была например разрешить коннект к SSH
>> только с перечисленных MAC. Идея была примерно такая.
> В ssh для этой цели предусмотрены криптографиче
17.06.2013 04:06, Mikhail A Antonov пишет:
> Правила, которые я привёл делают так:
> * 3 коннекта в минуту - разрешено.
> * Больше 3 коннектов в минуту - в дроп.
> * Если за минуту дропа пришла ещё одна попытка подключиться - таймер
> доставания из дропа начинает отсчёт заново.
> * Плюс заведомо бе
16.06.2013 10:40, Alex Dubinin пишет:
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> Эта строка точно дописана? Никак не пойму что она делает? По-моему она
> должна "маркировать" что-то как-то например так:
> iptables -A INPUT -p tcp -m tcp --dport 80 -m recent --set -
16.06.2013 02:06, Mikhail A Antonov пишет:
> Для SSH удобно делать так:
> iptables -N SSH
> iptables -A INPUT -p tcp --dport 22 -j SSH
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
> --update --seconds
15.06.2013 14:29, Alex Dubinin пишет:
> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> только с перечисленных MAC. Идея была примерно такая.
Для SSH удобно делать так:
iptables -N SSH
iptables -A INPUT -p tcp --dport 22 -j SSH
iptables -A INPUT -p tcp --dport 22 -m state --
At Sat, 15 Jun 2013 13:58:47 +0400,
Mikhail A Antonov wrote:
>
> [1 ]
> 15.06.2013 11:31, Alex Dubinin пишет:
>
> > Сама идея интерессная, но
> Но бестолкова в данном случае.
>
> > Т.о. как я понял фильтровать по mac не получится, потому как
> > оборудование провайдера перебивает мой mac своим.
At Sat, 15 Jun 2013 13:51:50 +0400,
Artem Chuprina wrote:
>
> MAC-адреса ставятся в заголовках Ethernet-пакетов, а отношение к
> делу имеет в основном устройство IP.
Артем, при всем уважении, FIX:
> MAC-адреса ставятся в заголовках Ethernet-фреймов, а отношение к
> делу имеет в основном устройст
15.06.2013 13:58, Mikhail A Antonov пишет:
> 15.06.2013 11:31, Alex Dubinin пишет:
> Фильтрацию по MAC можно использовать только в пределах одного
> L2-сегмента. Чаще всего её используют чтобы соседи не воровали
> интернет друг у друга. На свитче привязка порт+mac, на шлюзе - mac+ip.
> Когда-то дав
15.06.2013 11:31, Alex Dubinin пишет:
> Решил поиграться с фильтрацией по mac'ам.
Фильтрацию по MAC можно использовать только в пределах одного L2-сегмента.
Чаще всего её используют чтобы соседи не воровали интернет друг у друга.
На свитче привязка порт+mac, на шлюзе - mac+ip.
Когда-то давно считал
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013
15:00:18 +0600:
>> >> Т.о. как я понял фильтровать по mac не получится, потому как
>> >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
>> >> ли это поменять? Ну например обратившись к прову?
On Sat, Jun 15, 2013 at 12:41:50PM +0400, Artem Chuprina wrote:
> >> Т.о. как я понял фильтровать по mac не получится, потому как
> >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
> >> ли это поменять? Ну например обратившись к прову? Потому как очень
> >> хочется та
At Sat, 15 Jun 2013 11:31:59 +0400,
Alex Dubinin wrote:
>
> Jun 15 11:18:03 srv kernel: [845908.278759] Web: IN=eth0 OUT=
> MAC=68:05:ca:01:f1:04:00:1b:0d:e5:f7:00:08:00 SRC=SRC_IP DST=DST_IP
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой m
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013
13:50:35 +0600:
>> Т.о. как я понял фильтровать по mac не получится, потому как
>> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
>> ли это поменять? Ну например обратившись к прову? Потому как
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote:
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой mac своим.
Ламерская формулировка, но результат примерно такой...
> Так должно быть?
Да.
> Можно ли это поменять? Ну например о
On Sat, Jun 15, 2013 at 12:07:32PM +0400, Alex Dubinin wrote:
> > Фильтрацией чего?
> Фильтрацией пакетов
Каких пакетов? Где?
> > Вы бы почитали что-нибудь базовое про то, как устроен Ethernet.
> Базовые основы я знаю.
А чего тогда спрашиваете?
> P.S. Спасибо за дельный совет - теперь я точно ра
15.06.2013 11:50, Andrey Rahmatullin пишет:
> Фильтрацией чего?
Фильтрацией пакетов
> Вы бы почитали что-нибудь базовое про то, как устроен Ethernet.
Базовые основы я знаю.
P.S. Спасибо за дельный совет - теперь я точно разберусь в своём вопросе.
signature.asc
Description: OpenPGP digital signa
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote:
> Решил поиграться с фильтрацией по mac'ам.
Фильтрацией чего?
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
> ли это поменять? Ну например обра
26.09.2011 11:55, Ilya Sapytsky пишет:
> Добрый день!
> есть у меня некая сеть, где transparent squid стоит, но понадобилось для
> одной машины сделать исключение.
> Нарисовал в правилах вместо
> $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface
> $IF_GINT --jump REDIRECT --t
Stanislav Maslovski wrote:
>> Идет syn-flood до 20-100 тыс запросов в секунду.
>> В syn-flood атаке явно выраженные пакеты, которые не похожи на валидные
>> (отсутствие timestamp и так далее)
>> Спасибо за правило, очень помогло, уже надропало пакетов на 10Gb
>
> Ясно. А какая нагрузка на проц п
On Mon, Sep 28, 2009 at 07:29:06AM +, Sydoruk Yaroslav wrote:
> Stanislav Maslovski wrote:
> > On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
> >> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
> >> > 3. нужно блокать такие syn пакет у которых например
Stanislav Maslovski wrote:
> On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
>> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
>> > 3. нужно блокать такие syn пакет у которых например offset=0.
>>
>> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0"
>
> На всякий случ
On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
> > 2. нужно блокать такие syn пакет у которых например wscale
> >присудствует/отсутвует в пакете.
>
> --protocol tcp --syn [!] --tcp-option 10
On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
> > 3. нужно блокать такие syn пакет у которых например offset=0.
>
> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0"
На всякий случай уточняю:
--protocol tcp --syn --ma
On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
>
> Приветствую всех.
> Вывод tcpdump:
>
> IP(tos 0x0, ttl 45, id 20494, offset 0, flags [DF], proto TCP (6), length 60)
> x.60060 > x.80: S, cksum 0x5c93 (correct), 1974571823:1974571823(0) win 5840
>
> 0x: 00e0 81
Alexander Tiurin -> debian-russian@lists.debian.org @ Tue, 15 Sep 2009
10:52:22 +0400:
>> В man iptables на предмет осознания того, что цепочка INPUT - это для
>> пакетов, _адресованных нам_. В ней ToS менять тождественно
>> бессмысленно, поскольку эти пакеты дальше уже не пойдут.
AT> Эта
14 сентября 2009 г. 23:54 пользователь Artem Chuprina написал:
>
> В man iptables на предмет осознания того, что цепочка INPUT - это для
> пакетов, _адресованных нам_. В ней ToS менять тождественно
> бессмысленно, поскольку эти пакеты дальше уже не пойдут.
>
Эта штука осознана. Но.
Допустим, ест
Alexander Tiurin -> debian-russian@lists.debian.org @ Mon, 14 Sep 2009
22:27:16 +0400:
AT> На роутере инретфейс eth1 192.168.5.1/24
AT> Локальный хост 192.168.5.2
AT> На роутере для примера, пытаюсь изменить поле TOS на входящих от всех
AT> возможных локальных хостов
AT> iptables -t mangl
On 18:02 Mon 06 Oct , Dmitry E. Oboukhov wrote:
DEO> а есть ли решение как завернуть трафик на squid при условии что
DEO> 1. вышестоящего squid нету
DEO> 2. и squid и приложения ходящие в инет стоят на localhost
DEO> то есть в общем виде задача сводится к различению от какого приложения
DEO>
Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> В Срд, 13/08/2008 в 16:35 +0400, Andrey Melnikoff пишет:
> > Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> > > > > > > > Но он не все транзитные соединения перенаправляет на локальную
> > > > > > > > машину,
> > > > > > > Какие скажешь, такие и пе
В Срд, 13/08/2008 в 16:35 +0400, Andrey Melnikoff пишет:
> Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> > > > > > > Но он не все транзитные соединения перенаправляет на локальную
> > > > > > > машину,
> > > > > > Какие скажешь, такие и перенаправит.
> > > > > Щаз. Оно иногда умудряется пропуск
Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> > > > > > Но он не все транзитные соединения перенаправляет на локальную
> > > > > > машину,
> > > > > Какие скажешь, такие и перенаправит.
> > > > Щаз. Оно иногда умудряется пропускать UDP пакеты мимо.
> > > >
> > > > в простой конфигурации:
> >
В Пнд, 11/08/2008 в 20:14 +0400, Andrey Melnikoff пишет:
> Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> > В Вто, 29/07/2008 в 20:01 +0400, Andrey Melnikoff пишет:
> > > Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> > > > В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет:
> > > > > Покоти
Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> В Вто, 29/07/2008 в 20:01 +0400, Andrey Melnikoff пишет:
> > Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> > > В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет:
> > > > Покотиленко Костик пишет:
> > > > > REDIRECT перенаправляет локально сдел
В Вто, 29/07/2008 в 20:01 +0400, Andrey Melnikoff пишет:
> Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> > В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет:
> > > Покотиленко Костик пишет:
> > > > REDIRECT перенаправляет локально сделанные и транзитные соединения на
> > > > локальную машин
On Sat, Aug 02, 2008 at 11:42:07PM +0300, Аlexey wrote:
> несовсем понятно, можно пример
Тут примером не обойтись, надо прочесть хотя бы что-то про TCP/IP, DNS и HTTP.
> > Alexey -> debian-russian@lists.debian.org @ Sat, 2 Aug 2008 00:21:21 +0300:
> >
> > A> почему такой вариант работает:
> >
В сообщении от Sunday 03 August 2008 00:59:17 Stanislav Kruchinin написал(а):
> > просто возникла необходимость разрешить на фаерволе (на котором зарезаны
> > все исходящие пакеты кроме ESTABLISHED) доступ к гуглу. не перечислять же
> > все его ip...
>
> Надо именно перечислять, иначе работать не б
просто возникла необходимость разрешить на фаерволе (на котором зарезаны все
исходящие пакеты кроме ESTABLISHED) доступ к гуглу. не перечислять же все его
ip...
Надо именно перечислять, иначе работать не будет. В служебных пакетах (с флагами
SYN, ACK), которые необходимы для установки и поддерж
Аlexey wrote:
несовсем понятно, можно пример
Фильтрацию доступа к сайтам правильнее делать средствами HTTP-прокси (squid), а
не iptables. Модуль strings не для этого предназначен.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTE
Alexey -> debian-russian@lists.debian.org @ Sat, 2 Aug 2008 00:21:21 +0300:
A> почему такой вариант работает:
A> iptables -P OUTPUT ACCEPT
A> iptables -I OUTPUT 1 -p tcp -m string --string "google.com" --algo bm
-j
A> DROP
A> и на гугл не пускает
A> а такой не работает:
A> iptables
Покотиленко Костик <[EMAIL PROTECTED]> wrote:
> В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет:
> > Покотиленко Костик пишет:
> > > REDIRECT перенаправляет локально сделанные и транзитные соединения на
> > > локальную машину, поэтому адрес в параметрах отсутствует, он всегда
> > > равен ад
В Чтв, 17/07/2008 в 01:47 +0400, Alexander Tyurin пишет:
> Artem Chuprina пишет:
> > Alexander Tyurin -> Debian-Russian @ Thu, 17 Jul 2008 00:33:33 +0400:
> >
> > >> REDIRECT перенаправляет локально сделанные и транзитные соединения на
> > >> локальную машину, поэтому адрес в параметрах отсутств
В Чтв, 17/07/2008 в 00:33 +0400, Alexander Tyurin пишет:
> Покотиленко Костик пишет:
> > REDIRECT перенаправляет локально сделанные и транзитные соединения на
> > локальную машину, поэтому адрес в параметрах отсутствует, он всегда
> > равен адресу входящего интерфейса (127.0.0.1 для локально сделан
Artem Chuprina пишет:
Alexander Tyurin -> Debian-Russian @ Thu, 17 Jul 2008 00:33:33 +0400:
>> REDIRECT перенаправляет локально сделанные и транзитные соединения на
>> локальную машину, поэтому адрес в параметрах отсутствует, он всегда
>> равен адресу входящего интерфейса (127.0.0.1 для лока
Alexander Tyurin -> Debian-Russian @ Thu, 17 Jul 2008 00:33:33 +0400:
>> REDIRECT перенаправляет локально сделанные и транзитные соединения на
>> локальную машину, поэтому адрес в параметрах отсутствует, он всегда
>> равен адресу входящего интерфейса (127.0.0.1 для локально сделанных).
>>
>>
Покотиленко Костик пишет:
REDIRECT перенаправляет локально сделанные и транзитные соединения на
локальную машину, поэтому адрес в параметрах отсутствует, он всегда
равен адресу входящего интерфейса (127.0.0.1 для локально сделанных).
Но он не все транзитные соединения перенаправляет на локаль
В Срд, 16/07/2008 в 22:34 +0300, Покотиленко Костик пишет:
> В Срд, 16/07/2008 в 22:35 +0400, -=Devil_InSide=- пишет:
> > ,--[Artem Chuprina, Wed, 16 Jul 2008 20:19:38 +0400]
> > |sergio -> debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02
> > +0400:
> > |
> > | s> Всем привет.
> >
В Срд, 16/07/2008 в 22:35 +0400, -=Devil_InSide=- пишет:
> ,--[Artem Chuprina, Wed, 16 Jul 2008 20:19:38 +0400]
> |sergio -> debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02 +0400:
> |
> | s> Всем привет.
> |
> | s> В чём разнница между
> | s> REDIRECT и DNAT без ip?
> |
> | s> Это
,--[Artem Chuprina, Wed, 16 Jul 2008 20:19:38 +0400]
|sergio -> debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02 +0400:
|
| s> Всем привет.
|
| s> В чём разнница между
| s> REDIRECT и DNAT без ip?
|
| s> Это абсолютно одно и то же? Зачем тогда было делать REDIRECT?
| s> Или есть ра
sergio -> debian-russian@lists.debian.org @ Wed, 16 Jul 2008 18:46:02 +0400:
s> Всем привет.
s> В чём разнница между
s> REDIRECT и DNAT без ip?
s> Это абсолютно одно и то же? Зачем тогда было делать REDIRECT?
s> Или есть разница?
Разумеется. Если ты DNAT не указываешь адрес, он его не ме
On Sat, Jun 07, 2008 at 05:04:28PM +0300, Oleg Gashev wrote:
> Как разрешить доступ к localhost?
-A INPUT -i lo -j ACCEPT
--
Stanislav
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Pavel V. Rochnyack wrote:
Две полезные команды:
netstat -an |grep LISTEN
telnet localhost 80
советую попробовать.
Спасибо.
Заработало так:
# Generated by iptables-save v1.3.8 on Sat Jun 7 18:18:52 2008
*filter
:INPUT ACCEPT [9754:3728804]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [101720:5217
Две полезные команды:
netstat -an |grep LISTEN
telnet localhost 80
советую попробовать.
Oleg Gashev пишет:
Приветствую!
Есть
# Generated by iptables-save v1.3.8 on Sat Jun 7 16:55:23 2008
*filter
:INPUT ACCEPT [990:232122]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [60558:2893063]
-A INPUT -s 1
Mon, 4 Feb 2008 09:19:04 +0600
"Sergey Kharlamov" <[EMAIL PROTECTED]> wrote:
> Доброго времени суток уважаемые. Возникла небольшая проблемка при
> перебросе портов. Написал небольшое правило:
>
> iptables -t nat -I POSTROUTING -s 172.16.0.2 -j SNAT --to-source
> 82.211.X.X
>
> iptables -t nat -I
Sergey Kharlamov wrote:
iptables -t nat -I PREROUTING -p tcp -d 82.211.X.X --dport 80 -j DNAT
--to-destination 172.16.0.2:80
iptables -t nat -I POSTROUTING -p tcp -s 172.16.0.2
--sport 80 -j SNAT
Теперь встала другая проблема: Не могу зайти из локалки... С инета
видется нормально а вот в л
На Wed, 23 Jan 2008 12:55:58 +0600
"Sergey Kharlamov" <[EMAIL PROTECTED]> записано:
> Все почти работаетпрописал правило
> iptables -t nat -I PREROUTING -p tcp -d 82.211.X.X --dport 80 -j DNAT
> --to-destination 172.16.0.2:80
> iptables -t nat -I POSTROUTING -p tcp -s 172.16.0.2 --sport 80 -j SNA
Все почти работаетпрописал правило
iptables -t nat -I PREROUTING -p tcp -d 82.211.X.X --dport 80 -j DNAT
--to-destination 172.16.0.2:80
iptables -t nat -I POSTROUTING -p tcp -s 172.16.0.2 --sport 80 -j SNAT
--to-source 82.211.X.X
iptables -I FORWARD -p tcp -s 172.16.0.2 --sport 80 -j ACCEPT
iptab
да, роутер прописан в качестве шлюза по умолчанию
23.01.08, Mikhail A Antonov <[EMAIL PROTECTED]> написал(а):
>
> On 23 января 2008, Sergey Kharlamov wrote:
> > Это будет web server и необходимо чтобы его видели из внешней сети по
> 80
> > порту
> >
> Зачем пробрасывать все, если надо только 80
On 23 января 2008, Sergey Kharlamov wrote:
> Это будет web server и необходимо чтобы его видели из внешней сети по 80
> порту
>
Зачем пробрасывать все, если надо только 80 порт?
У машины 172.16.0.2 маршрут проходит через сервер?
Про tcpdump уже был совет.
--
Best regards,
Mikhail
Bart
Hi,
Если я правильно ошибаюсь, то... в общем-то тоже самое:
iptables -t nat -I PREROUTING -p tcp -d 82.211.X.X --dport 80 -j DNAT
--to-destination 172.16.0.2:80
iptables -t nat -I POSTROUTING -p tcp -s 172.16.0.2 --sport 80 -j SNAT
--to-source 82.211.X.X
iptables -I FORWARD -p tcp -s 172.16.0.2
Это будет web server и необходимо чтобы его видели из внешней сети по 80
порту
23.01.08, Evgeny Yurkin <[EMAIL PROTECTED]> написал(а):
>
> В сообщении от 23 января 2008 Sergey Kharlamov написал(a):
> > 23.01.08, Evgeny Yurkin <[EMAIL PROTECTED]> написал(а):
> > > В сообщении от 23 января 2008 Ser
В сообщении от 23 января 2008 Sergey Kharlamov написал(a):
> 23.01.08, Evgeny Yurkin <[EMAIL PROTECTED]> написал(а):
> > В сообщении от 23 января 2008 Sergey Kharlamov написал(a):
> > > Доброго времени суток. Подскажите пожалуйста как пробросить машину во
> > > внешнюю сеть?Стоит роутер на базе etc
23.01.08, Evgeny Yurkin <[EMAIL PROTECTED]> написал(а):
>
> В сообщении от 23 января 2008 Sergey Kharlamov написал(a):
> > Доброго времени суток. Подскажите пожалуйста как пробросить машину во
> > внешнюю сеть?Стоит роутер на базе etch. На нем прописал вот эти правила:
> > iptables -t nat -I POSTRO
В сообщении от 23 января 2008 Sergey Kharlamov написал(a):
> Доброго времени суток. Подскажите пожалуйста как пробросить машину во
> внешнюю сеть?Стоит роутер на базе etch. На нем прописал вот эти правила:
> iptables -t nat -I POSTROUTING -s 172.16.0.2 -j SNAT --to-source
> 82.211.X.X iptables -I
Mikhail A Antonov пишет:
> On 29 ноября 2007, Jukof Greg wrote:
>
>> возможный вариант
>> сначал сюда
>> <...>
>>
> Как собрать - это не проблема - я это делал с ядрами 2.4.x еще на sarge.
> Хотелось решения без сборки :-)
> Кстати, судя по ответу и ссылкам - пересобирать придется только
> Необходимо патчить iptables и/или ядро из PoM для того чтобы заработало?
> Пол ночи вчера убил на поиск информации, почему оно в debian не работает
> из коробки, хотя модуль есть. Такое поведение наблюдается как в etch
> так и в lenny. Толком не понял, что именно мне надо пересобрать.
> Не особо
On 29 ноября 2007, Jukof Greg wrote:
> возможный вариант
> сначал сюда
> <...>
Как собрать - это не проблема - я это делал с ядрами 2.4.x еще на sarge.
Хотелось решения без сборки :-)
Кстати, судя по ответу и ссылкам - пересобирать придется только iptables.
Радует что ядро можно не трогать. Или я
> Необходимо патчить iptables и/или ядро из PoM для того чтобы заработало?
> Пол ночи вчера убил на поиск информации, почему оно в debian не работает
> из коробки, хотя модуль есть. Такое поведение наблюдается как в etch
> так и в lenny. Толком не понял, что именно мне надо пересобрать.
> Не особо
iptables-save file
iptables-restore file
где эти команды размещать в скриптах или предпочесть задавать в ручную -
вопрос привычки.
можно засейвиться единожды и создать файл /etc/network/if-up.d/iptables
#!/bin/sh
iptables-restore "/директория/file"
--
Sincerely,
Nicholas
--
To UN
18.08.07, Munko O. Bazarzhapov<[EMAIL PROTECTED]> написал(а):
> Здравствуйте
>
> При старте сервера правила по дефолту в iptables это ACCEPT
> Где что нужно прописать что бы было DENY
>
> Нужно debian way решение
>
> --
> Мунко О. Базаржапов
> mailto:[EMAIL PROTECTED]
> ICQ UIN: 169-245-258
>
# Q:
On Sun, Jul 01, 2007 at 05:24:08AM -0400, Nicholas wrote:
> Здраствуйте.
>
> Есть правило которое надо размножить на
> все адреса подсети.:
> -A POSTROUTING -s 192.168.1.10 -j SNAT --to-source x.x.x.10
> -A PREROUTING -d x.x.x.10 -j DNAT --to-destination 192.168.1.10
>
>
> Вопрос: надо ли для к
В сообщении от Пятница 9 Февраль 2007 14:09 Admont написал(a):
> >Привет
> >
> >установил ядро 2.6.16.16 после чего iptables начал выдавать
> >
> ># iptables -t nat -L
> >FATAL: Module ip_tables not found.
> >iptables v1.2.11: can't initialize iptables table `nat': iptables who? (do
> > yo need t
На Fri, 9 Feb 2007 12:17:47 +0300
Андрей Герасимов <[EMAIL PROTECTED]> записано:
> Привет
>
> установил ядро 2.6.16.16 после чего iptables начал выдавать
Нету такого ядра в дебиане =\
Наверное сам собирал... Криво...
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe
>Привет
>
>установил ядро 2.6.16.16 после чего iptables начал выдавать
>
># iptables -t nat -L
>FATAL: Module ip_tables not found.
>iptables v1.2.11: can't initialize iptables table `nat': iptables who? (do yo
>need to insmod?) Perhaps iptables or your kernel needs to be upgraded.
>
># iptables
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Покотиленко Костик wrote:
> Не подскажете что надо Sarge'у, чтобы
>
> iptables --dstlimit-mode
>
> работало?
>
> Где-то прочитал про необходимость patch-o-matic.
Да, интересно, насколько он жив?
Пытался использовать connlimit модуль из patch-o-mati
Может быть, стоит попробовать arpwatch?
2006/11/15, Vladimir N. Shilov <[EMAIL PROTECTED]>:
есть желание и потребность логировать ARP-пакеты средствами iptables.
ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable_filter загружены.
iptables версии 1.2.11-10.
как выглядят команды iptables
On Thu, 16 Nov 2006 12:04:12 + (UTC)
Oleg Verych <[EMAIL PROTECTED]> wrote:
OV> Этточно. Для этого дела есть arptables,
а ulog оно уже умеет?
--
Vladimir, [EMAIL PROTECTED]
ICQ: 287979785
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMA
Alexander Gerasiov -> debian-russian @ Thu, 16 Nov 2006 15:32:09 +0300:
>> >> есть желание и потребность логировать ARP-пакеты средствами iptables.
>> >>
>> >> ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable_filter
>> >> загружены. iptables версии 1.2.11-10.
>> >>
>> >> как
Artem Chuprina wrote:
> Alexander GQ Gerasiov -> debian-russian@lists.debian.org @ Wed, 15 Nov 2006
> 21:27:50 +0300:
>
> >> есть желание и потребность логировать ARP-пакеты средствами iptables.
> >>
> >> ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable_filter
> >> загружены. iptabl
> AGG> _ip_tables предназначен для работы с протоколом ip. Ферштейн?
>
> А tcpdump - с протоколом TCP?
Я всегда подозревал, что MPLS -- это ls, собранный для работы на
многопроцессорных машинах 8)))
--
Alexander Vlasov
ZULU-UANIC
JID: zulu jabber.kiev.ua
On 2006-11-16, Artem Chuprina <[EMAIL PROTECTED]> wrote:
> Alexander GQ Gerasiov -> debian-russian@lists.debian.org @ Wed, 15 Nov 2006
> 21:27:50 +0300:
>
> >> есть желание и потребность логировать ARP-пакеты средствами iptables.
> >>
> >> ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable
Alexander GQ Gerasiov -> debian-russian@lists.debian.org @ Wed, 15 Nov 2006
21:27:50 +0300:
>> есть желание и потребность логировать ARP-пакеты средствами iptables.
>>
>> ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable_filter
>> загружены. iptables версии 1.2.11-10.
>>
>> как вы
На Wed, 15 Nov 2006 20:09:38 +0300
Mikhail A Antonov <[EMAIL PROTECTED]> записано:
> oops...
> Прошу прощения за такую длинную подпись :(
>
А ниче так...
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
На Wed, 15 Nov 2006 19:01:59 +0200
"Vladimir N. Shilov" <[EMAIL PROTECTED]> записано:
> есть желание и потребность логировать ARP-пакеты средствами iptables.
>
> ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable_filter
> загружены. iptables версии 1.2.11-10.
>
> как выглядят команды iptab
On Wednesday 15 November 2006 20:04 Mikhail A Antonov wrote:
> On Wednesday 15 November 2006 20:01 Vladimir N. Shilov wrote:
> > есть желание и потребность логировать ARP-пакеты средствами iptables.
> >
> > ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable_filter загружены.
> > iptables вер
On Wednesday 15 November 2006 20:01 Vladimir N. Shilov wrote:
> есть желание и потребность логировать ARP-пакеты средствами iptables.
>
> ядро 2.6.16.20, модуля arpt_mangle,arp_tables и arptable_filter загружены.
> iptables версии 1.2.11-10.
>
> как выглядят команды iptables'а для манипулирывания
В Пнд, 09/10/2006 в 08:56 +0300, Alexey Dudnikov пишет:
> а ната нема :(
>
> /sbin/iptables -t nat -L пишет список правил, ни на что не ругается.
> подскажите куда копать? (или заводить 2,6,16 или iptables смотреть)
может это форварда нема ?
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with
Может прокси провайдера не разрешает закачку в инет файлов размера
большего, чем 200 кб?
2006/8/21, vizor <[EMAIL PROTECTED]>:
Здравствуйте уважаемые читатели рассылки. Имеем ядро 2.6.17 и debian unstable
Настройки iptables следующие:
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts byte
On Thu, Aug 10, 2006 at 10:55:17AM +0300, Покотиленко Костик wrote:
> В Вто, 08/08/2006 в 22:02 +0400, Stanislav Maslovski пишет:
> > This indicates that the support for this target has neither been compiled in
> > the kernel nor loaded as a module. It seems that there is no ipt_ROUTE.c in
> > the
В Вто, 08/08/2006 в 22:02 +0400, Stanislav Maslovski пишет:
> On Tue, Aug 08, 2006 at 07:49:08PM +0300, Покотиленко Костик wrote:
> > Hi.
> >
> > I'm trying to settle routing with iptables. I have a router with 2 Inet
> > connections, and I need routing decision upon source IP.
> >
> > # iptables
On Tue, Aug 08, 2006 at 07:49:08PM +0300, Покотиленко Костик wrote:
> Hi.
>
> I'm trying to settle routing with iptables. I have a router with 2 Inet
> connections, and I need routing decision upon source IP.
>
> # iptables -A PREROUTING -t mangle -s 10.0.0.0/8 -j ROUTE --oif eth0
> iptables: No
On Sat, Jul 29, 2006 at 03:41:16PM +0300, Nikolay Nikolaev wrote:
> День добрый.
> подскажите откуда берется это расширение, вроде как в РОМ нет его, в
> ядре 2.6.15, тоже нет, но люди ж его как используют???
> Спасибо.
Ядро 2.6.17:
# make menuconfig
Networking->Networking Options->Network Pack
В сообщении от 1 Июль 2006 20:42 Dmitry Nezhevenko написал(a):
> В общем немого оффтоп, но тем не менее. Есть кривая прога, заменить ее не
> реально, исходников нет. Она при коннекте куда либо игнорирует таблицу
> маршрутизации и шлет пакеты на интерфейс ppp0. Т.е даже если ее попросить
> соединить
Artem Chuprina wrote:
> VVK> не прошло, по прежнему не проходят пакету ((
>
> VVK> srv05:/home/mega# iptables-save
> VVK> # Generated by iptables-save v1.3.3 on Sat Jul 1 02:09:42 2006
> VVK> *nat
> VVK> :PREROUTING ACCEPT [1949751:140271634]
> VVK> :POSTROUTING ACCEPT [1207000:89031901]
>
Viktor V Kudlak -> debian-russian@lists.debian.org @ Fri, 30 Jun 2006 22:10:03
+:
>> >> VVK>> iptables -t nat -A PREROUTING -j DNAT -p tcp -d 80.93.50.70
>> >> VVK>> --to-destination 10.32.13.1
>> >> VVK>> iptables -t nat -A PREROUTING -j DNAT -p udp -d 80.93.50.70
>> >> VVK>> --
30.06.06, Artem Chuprina<[EMAIL PROTECTED]> написал(а):
Viktor V Kudlak -> debian-russian@lists.debian.org @ Fri, 30 Jun 2006 17:58:52
+:
>>
>> VVK>> iptables -t nat -A PREROUTING -j DNAT -p tcp -d 80.93.50.70
>> VVK>> --to-destination 10.32.13.1
>> VVK>> iptables -t nat -A PREROUTIN
Viktor V Kudlak -> debian-russian@lists.debian.org @ Fri, 30 Jun 2006 17:58:52
+:
>>
>> VVK>> iptables -t nat -A PREROUTING -j DNAT -p tcp -d 80.93.50.70
>> VVK>> --to-destination 10.32.13.1
>> VVK>> iptables -t nat -A PREROUTING -j DNAT -p udp -d 80.93.50.70
>> VVK>> --to-destinatio
VVK>> Пробую пробросить внешний IP в локальную сеть,
VVK>> пишу примерно такое правило:
VVK>> iptables -t nat -A PREROUTING -j DNAT -p tcp -d 80.93.50.70
VVK>> --to-destination 10.32.13.1
VVK>> iptables -t nat -A PREROUTING -j DNAT -p udp -d 80.93.50.70
VVK>> --to-destination 10.32.13.1
V
30.06.06, Artem Chuprina<[EMAIL PROTECTED]> написал(а):
Viktor V Kudlak -> debian-russian@lists.debian.org @ Fri, 30 Jun 2006 15:20:48
+:
VVK> Привет!
VVK> Пробую пробросить внешний IP в локальную сеть,
VVK> пишу примерно такое правило:
VVK> iptables -t nat -A PREROUTING -j DNAT -p t
Artem Chuprina -> debian-russian@lists.debian.org @ Fri, 30 Jun 2006 19:35:43
+0400:
VVK>> Пробую пробросить внешний IP в локальную сеть,
VVK>> пишу примерно такое правило:
VVK>> iptables -t nat -A PREROUTING -j DNAT -p tcp -d 80.93.50.70
VVK>> --to-destination 10.32.13.1
VVK>> iptables -t
Результаты 1 - 100 из 296 matches
Mail list logo
