iptables - не срабатывает инверсия

0

1

Доброго времени суток!

Подскажите по иптаблес. Хочу чтобы обламывались все идущие на порты 6100:6200 по тсп, кроме ИП 123.123.123.123. Для этого правило:

iptables -A INPUT -p TCP -i enp1s0 -s ! 123.123.123.123 --dport 6100:6200 -j DROP

В ответ ругань: Bad argument `123.123.123.123'

Писал с маской /32 - результат тот же.

Что не так в этом правиле? Задачу я решил другим способом, тем не менее интересно, что иптаблесу не так.

Заранее благодарю

Ссылка

←	LVM. Потеря данных после fsck

Percona DB постепенно поедает память. Zabbix

→

потому что они давно уже поменяли порядок. Надо '! -s 111.11.11.11'

anonymous
(11.02.18 00:58:29 MSK)

Анон выше уже ответил.
Но у вас сам подход «не очень» в создании правил. Что будете делать если кроме 123.123.123.123 появятся другие ip или дополнительные критерии? Ваш вариант, так, чуть разумнее выглядит:

-p tcp -s 123.123.123.123 --dport 6100:6200 -j ACCEPT
-p tcp --dport 6100:6200 -j DROP

Но это в случае когда необходимо вставить DROP в цепочку среди других правил. В простых вариантах достаточно полиси DROP или последним правилом -j DROP

anc ★★★★★
(11.02.18 01:16:38 MSK)

Ответ на: комментарий от anonymous 11.02.18 00:58:29 MSK

Спасибо те мил человек!

Не, ну елы-палы - на святое лезут. То ифконфиг выкинут, то нетстат им не такой...

alex-123 ★
(11.02.18 01:27:46 MSK) автор топика

Ответ на: комментарий от anc 11.02.18 01:16:38 MSK

то анс

это все понятно, не надо лекций. Не надо там полиси, не надо там акцептов. Коллега мне ответил то что надо и в то время когда надо - за что ему огромное мерси в этот поздний час.

alex-123 ★
(11.02.18 01:33:08 MSK) автор топика

Ссылка

Ответ на: комментарий от alex-123 11.02.18 01:27:46 MSK

Не, ну елы-палы - на святое лезут.

Так вы еще в криокамере полежите лет 10, а потом удивитесь что команда iptables не сработала.

То ифконфиг выкинут

Еще никто не выкинул, есть во всех дистрах. А вот то что его по дефолту из linux дистров выкидывают, абсолютно правильно. Он не позволяет всего что есть в сетевой подсистеме. Конечно если многолетняя практика, то переучиваться от всяких ifconfig/route на ip писец как тяжело, особенно когда обе команды с системе присутствуют :)

anc ★★★★★
(11.02.18 01:40:06 MSK)

Ответ на: комментарий от anc 11.02.18 01:40:06 MSK

О, приятно, что у жертв ЕГЭ бомбит. Дебил малолетний, погугли почему это в бсд ifconfig/route обеспечивает «всего что есть в сетевой подсистеме», а вот в линуксе для этого надо исчо кучу утилит прикручивать. Ты поди и на системд надрачиваешь? Не надо - так и до истощения недалеко.

alex-123 ★
(12.02.18 01:55:37 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	LVM. Потеря данных после fsck

Admin

Percona DB постепенно поедает память. Zabbix

→

Похожие темы