LINUX.ORG.RU
решено ФорумAdmin

ip route как заблокировать IP

 


0

2

Доброго дня! Подскажите. Есть сервер с CENTOS и есть сайт. Хочу заблокировать IP при помощи ip route.

вот попытки которые я предпринимал.

Добавил ip под которым я захожу на сайт (ip здесь указан от балды)

route add -host 205.185.217.65 reject

Вывод route -n

205.185.217.65 - 255.255.255.255 !H 0 - 0 -

Не помогло. Могу заходить на сайт и вообще куда угодно. Удалил.

Попытка 2

ip route add blackhole 205.185.217.65

Вывод route -n

205.185.217.65 0.0.0.0 255.255.255.255 UH 0 0 0 *

Тоже не помогло…

Подскажите пожалуйста как сделать что бы работало ну и почему не работает хотелось бы знать.

ЗЫ. Главное! НЕ ХОЧУ блокировать через iptables, UFOtables, WTFtables и так далее. Хочу только через ip route. Так была поставлена задача. Помогите решить.



Последнее исправление: ajdorha (всего исправлений: 1)
Ответ на: комментарий от vvn_black

Привет!

Так вот оттуда я и понабрался. Там вот первую ссылку если открыть. Вот как раз из нее то мои опыты и выходят. Но не помогло..

Вот отсюда и вопрос. Почему я вроде бы все как в ТЫЦ указано сделал, можно сказать скопировал поверив этому ТЫЦ..

Ан нет.. не работает.. Видимо не все ТЫЦы одинаково полезны…

Есть идеи почему не работает?

ajdorha
() автор топика

У меня есть предположение что на уровне ядра что то вроде netlink не настроено. И поэтому ip route не работает.

Но знаний в этой области у меня нет..

Может кто подскажет что делать? Как проверить? Куда копать?.

ajdorha
() автор топика
Ответ на: комментарий от vel

Привет!

Я сам нахожусь под этим IP 205.185.217.65 с него лезу и проверяю заходит на сайт или нет. Увы заходит. А я хочу что бы не заходил.

ajdorha
() автор топика
Ответ на: комментарий от ajdorha

Что бы было понятней.

Подключен я к серверу с другого IP.

С него смотрю логи и пытаюсь заблокировать тот айпи про который я написал выше.

Потом с другого компа с айпи 205.185.217.65 захожу на сайт вот так проверяю.

ajdorha
() автор топика
Ответ на: комментарий от ajdorha

ip route не работает

Если бы не работали роуты то у тебя бы не работал инет. Это обязательная штука для него.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Привет!

Показывает вот так

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0

xxx.xxx.xxx.xxx 0.0.0.0 255.255.255.0 U 0 0 0 eth0

xxx.xxx.xxx.xxx 0.0.0.0 255.255.0.0 U 1002 0 0 eth0

205.185.217.65 0.0.0.0 255.255.255.255 UH 0 0 0 *

ajdorha
() автор топика
Ответ на: комментарий от firkax

Рабоатть то он работает. Только вот не блокирует после команды

ip route add blackhole xxx.xxx.xxx.xxx

Вот я и хочу узнать почему не блокирует и вообще должен ли? Гугл говорит что должен вроде.

ajdorha
() автор топика
Ответ на: комментарий от ajdorha

т.е. у тебя 3 (три) машины, одна это сервер, на котором крутится сайт, вторая с айпи 205.185.217.65, с которой ты проверяешь потуги и третья с которой ты настраиваешь сервер? осталось понять еще пару тысяч вопросов, но ты продолжай, нам интересно.

Anoxemian ★★★★★
()
Ответ на: комментарий от ajdorha

Я сам нахожусь под этим IP 205.185.217.65

Находиться под/над IP - это что-то новое.

Если ты с хоста 205.185.217.65 обращаешься на 205.185.217.65, то блокировка такого обмена будет похожа на вышибание табуретки из по себя :)

Ну если ты так этого хочешь, то тебе нужна таблица local.

Забудь про утилиту route - она ничего не умеет из того, что тебе нужно.

На сколько я понимаю, тебе нужно удалить маршрут

ip ro del local 205.185.217.65 table local

Только перед этим хорошенько подумай - нужно ли тебе это....

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от Anoxemian

Привет!

Не совсем так. Машин у меня 4. Все с разными айпи.

Сервер тоже не один. Но настроить ip route add blackhole мне надо только на одном сервере.

Я рад что вам интересно.

Пару тысяч вопросов для меня не проблема - отвечу.

По сути вопрос то простой. Не имеет значения количество моих машин и серверов. Нужно настроить только на одном.

ajdorha
() автор топика
Ответ на: комментарий от ajdorha

Нет, имеет. Для того чтобы выяснить сетап и что где и куда ты вводишь и как проверяешь. С тебя же станется блокировать самого себя, проверять локалхост, сидеть с внутренней адресацией и блочить внешнюю? Давай сюда ip a с сервера.

Anoxemian ★★★★★
()
Последнее исправление: Anoxemian (всего исправлений: 1)
Ответ на: комментарий от vel

Спасибо за ответ!

Нет я с хоста 205.185.217.65 обращаюсь к одному из серверов скажем с айпи ххх.ххх.ххх.хх1

С другого айпи скажем ххх.ххх.ххх.25 я даю команду

ip route add blackhole 205.185.217.65

Затем с айпи 205.185.217.65 я проверяю доступ.

Смог объяснить?

Ребята извините если я плохо объясняю.

ajdorha
() автор топика
Ответ на: комментарий от ajdorha

С другого айпи скажем ххх.ххх.ххх.25 я даю команду

как ты ее даешь? надеюсь, не в терминале вбиваешь?

Давай сюда ip a с сервера.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

На

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback CENSORED brd CENSORED

inet CENSORED scope host lo

   valid_lft forever preferred_lft forever

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

link/ether CENSORED brd CENSORED

inet CENSORED brd CENSORED scope global eth0

   valid_lft forever preferred_lft forever
ajdorha
() автор топика
Ответ на: комментарий от Anoxemian

Я на этот вопрос не знаю ответа.

Я же говорю. Я не обладаю достаточными знаниями. Я сюда спросить пришел.

Возможно ли сделать так что бы сервер блокировал 1 айпи через ip route? Если возможно то как.

ping route?

ajdorha
() автор топика
Ответ на: комментарий от Anoxemian

Сработало что? Пинг не проходит с сервера на айпи 205.185.217.65

но с айпи 205.185.217.65 я продолжаю открывать сайт на этом сервере.

Почему так происходит? То есть я закрыл серверу путь до айпи 205.185.217.65 но мне нужно наоборот.

Я знаю что я что то делаю не так. Есть идеи у кого то идеи что именно я делаю не так?

ajdorha
() автор топика
Ответ на: комментарий от ajdorha

Например сделай ping server_ip с машины 205.185.217.65 и да, ip a с этой машины тоже сюда, можешь не затирать.

Anoxemian ★★★★★
()
Ответ на: комментарий от ajdorha

Если у тебя с сервера не идёт пинг до 205.185.217.65 после того как ты его в блекхол внёс, то и хост с ip 205.185.217.65 не сможет достучаться до сервера условно пингом, т.к сервер не будет знать как ему ответить. То, что у тебя сайт открывается ни смотря на то, что ты заблочил клиента 205.185.217.65 со стороны сервера, говорит о том, что на сайт расположенный на этом сервере ты пришел не с 205.185.217.65. Смотри лог веб сервера в момент открытия сайта, скорей всего там другой адрес фигурирует (например прозрачный прокси)

CeMKa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.