Не могу заставить ipchains закрыть алиасный интерфейс eth0:0 - HELP!!!!

0

0

Комп подключен к интернету. Две сетевухи.
На нем работает несколько сервисов которые должны быть видны из локалки.
eth0 193.*.*.20 порт 25
eth0:0 193.*.*.21 порт 80
eth1 192.168.0.21

как закрыть 80 и открыть 25?
цепочка input -i eth0:0 -s 0/0 -p tcp -d 193.*.*.21 80 DENY

не отрабатывает. Т.е. отрабатывает но 80 порт открыт!

Ссылка

←

Tripwire

Переход на UTF-8

→

ipchains(iptables) не понимают алиасы - физический интерфейс-то один. Строй свои правали по destination address

grustnoe ★★
(18.09.03 16:26:28 MSD)

Ответ на: комментарий от grustnoe 18.09.03 16:26:28 MSD

Как по дистинейшин?
Вот так тоже не работает-
ipchains -A input -s 0/0 -p tcp -d 193.*.*.21 80 -j DENY
отрабатывает но порт закрыт.
Не ужели нет вариантов?

anonymous
(18.09.03 17:39:09 MSD)

Ответ на: комментарий от anonymous 18.09.03 17:39:09 MSD

Описка в предыдущей мессаге(не закрывается порт - смотрел nmap)
Как по дистинейшин?
Вот так тоже не работает-
ipchains -A input -s 0/0 -p tcp -d 193.*.*.21 80 -j DENY
отрабатывает но порт НЕ закрыт.
Не ужели нет вариантов?
ядро 2.2.18
ipchains-1.3.9-205

anonymous
(18.09.03 17:57:12 MSD)

Ссылка

DENY - это не аналог ли DROP в iptables? nmap, кажется, показывает, что порт открыт, если на SYN не приходит RST. Поэтому в таблесах обычно надо делать REJECT

grustnoe ★★
(19.09.03 04:05:10 MSD)

Ответ на: комментарий от grustnoe 19.09.03 04:05:10 MSD

REJECT пробовал.
Вообщем резюме такое - не умеет IPCHAINS с алиасами работать.
Причем даже вариант без указания алиаса(интерфейса) с ограничением только по destination тоже непроходит.

не фильтрует eth0:0 c IP 193.*.*.21:
ipchains -A input -s 0/0 -p tcp -d 193.*.*.21 80 -j DENY (или REJECT)
может старая версия ipchains.

anonymous
(19.09.03 08:21:07 MSD)

Ссылка

> может старая версия ipchains.
А при чем здесь ipchains ??? Фильтрацию производит ядро !
И нехрен тестить открыт/закрыт через nmap, если до конца не понимаешь когда он пишет opened, а когда closed. Тестируй telnet-ом !

> Причем даже вариант без указания алиаса(интерфейса) с ограничением только по destination тоже непроходит.
Значит не правильно тестишь :-)

spirit ★★★★★
(19.09.03 15:25:48 MSD)

Ответ на: комментарий от spirit 19.09.03 15:25:48 MSD

>А при чем здесь ipchains ??? Фильтрацию производит ядро !
ну и почему оно алиасы не понимает?
Или ipchains не понимает. Т.е. это
абсолютно точно что алиасы не понимает. -
-i eth0:0
отрабатыват но не фильтрует.

>Значит не правильно тестишь :-)

Ну конечно - ничего не понимаю, и не хрен тестить - да у меня
браузером порт открывается(чего уж тут телнетом).
NMAP когда порты прикрыты nmap пишет filtered(для DENY).
Физический интерфейс прикрывается, - алиас никак.
Проверю на другом ipchains(это SUSE 7.2), по идее без указания
интерфейса по destination должен прикрываться и алиас.

anonymous
(19.09.03 17:33:24 MSD)

Ссылка

ставть Iptables (ядро 2.4) и не трахайся ;)

Rost ★★★★★
(20.09.03 14:42:43 MSD)

> Т.е. это абсолютно точно что алиасы не понимает. - -i eth0:0
Да, абсолютно. Его не надо указывать, надо только "-d"

spirit ★★★★★
(20.09.03 19:39:49 MSD)

Ссылка

Ответ на: комментарий от Rost 20.09.03 14:42:43 MSD

>ставть Iptables (ядро 2.4) и не трахайся ;)
>Rost (*) (2003-09-20 14:42:43.496949)
Пока обошелся отключением "лишних" IP.
В RH73 отработало тоже самое с ipchains,
Похоже это suse'ский(suse 7.1) глюк.
Спасибо всем за советы.

anonymous
(22.09.03 08:11:52 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

Tripwire

Admin

Переход на UTF-8

→

Похожие темы