Настройка iptables с определением переменной

1

1

Люди добрые, помогите пожалуйста, уже две недели бьюсь об стенку. Предыстория: переходим с Исы на Ubuntu. Сейчас тестирую под требования и задачи. Проксю поставил поюзал, все вроде норм. Дальше настройка файрвола, задача следующая: создать правило доступа с созданием переменной в iptables (к примеру ip_test), где ip_test - это файл со списком допущенных ip адресов, который постоянно меняется. Юзал до этого pf в Freebsd, там было понятно с определением списка IP, но они указывались там же в правилах. А тут задача именно с подгрузкой списка IP из файла. Люди это возможно? Если нет, подскажите плиз как в правиле тогда указываться список IP.

Ссылка

←	LXC контейнер получает 2ip

Debian Stable 7.4 - как делать бекапы в PostgreSQL? (проблема с пользователем postgres)

→

с подгрузкой списка IP из файла

man ipset

vxzvxz ★★★
(19.05.14 15:58:22 MSK)

Ссылка

пример в догонку

Ipset & iptables

vxzvxz ★★★
(19.05.14 15:59:11 MSK)

Ответ на: комментарий от vxzvxz 19.05.14 15:59:11 MSK

ток если я не путаю, для ipset нужно ядро пересобирать с поддержкой.

Michael89
(19.05.14 16:31:13 MSK)

Ответ на: комментарий от Michael89 19.05.14 16:31:13 MSK

ну или модуль netfilter понадобится

Тут пример скрипта для подгрузки новых сетов:

for s in $BASIC_NET_SETS $BASIC_IP_SETS; do 
    /sbin/ipset -nL $s | grep -vE ":|^$" | sort > /tmp/$s.current 
    sort -u /usr/iptables/include/$s > /tmp/$s.new 
    comm -23 /tmp/$s.current /tmp/$s.new > /tmp/$s.todel 
    comm -13 /tmp/$s.current /tmp/$s.new > /tmp/$s.toadd 
    while read net; do 
        /sbin/ipset --del $s $net 
    done < /tmp/$s.todel 
    while read net; do 
        /sbin/ipset --add $s $net 
    done < /tmp/$s.toadd 
    /bin/rm /tmp/$s.* 
done

я как в iptables добавить в интернете есть мануалы

P.S. скрипт под старую версию ipset, на свежую придется редактировать

Michael89
(19.05.14 16:44:23 MSK)

Ответ на: комментарий от Michael89 19.05.14 16:31:13 MSK

если я не путаю, для ipset нужно ядро пересобирать с поддержкой.

Путаешь. Для CentOS6 и Debian7 ipset есть в ихних репах. Остальные дистрибутивы не нужны, но в Бубунте тоже, скорее всего, есть. Кстати, почему бубунта? Чем дебиан/центос на сервере не устроил?

nbw ★★★
(20.05.14 08:49:19 MSK)
Последнее исправление: nbw 20.05.14 08:49:41 MSK (всего исправлений: 1)

Ссылка

настройка файрвола, задача следующая: создать правило доступа с созданием переменной в iptables

А вам точно это нужно? Адреса чьи, внутренних клиентов? Сколько их? Как часто меняются?

~~sdio~~ ★★★★★
(20.05.14 09:16:39 MSK)

Ссылка

Ответ на: комментарий от Michael89 19.05.14 16:44:23 MSK

я бы заюзал базу, если адресов куча и скриптом добавлял в ipset или удалял в соответствии с базой )))))

init_ ★★★
(20.05.14 14:20:20 MSK)

13 февраля 2016 г.

Ответ на: комментарий от init_ 20.05.14 14:20:20 MSK

На самом деле база была, это из самописного биллинга. Биллинг на перле которы не осилю, забирает из базы, выгружает на роутер, а дальше этим скриптом цепляются сеты.

Michael89
(13.02.16 10:29:24 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	LXC контейнер получает 2ip

Admin

Debian Stable 7.4 - как делать бекапы в PostgreSQL? (проблема с пользователем postgres)

→

Похожие темы