LINUX.ORG.RU
ФорумAdmin

Firewall - закрыть порт после некоторого периода неактивности


0

2

Собственно субж. Как можно с помощью, к примеру, iptables, организовать подобное? Нужно, чтобы после, скажем, 5-и минут неактивности, определенный порт (e.g. 1111) закрывался. Большое спасибо заранее всем ответившим.


Ethernet over Ethernet
[iptv filter multicast] решение

с помощью ipt никак.

mashina ★★★★★
()

в голову приходят knock+xinetd, но на этом фантазии заканчиваются

anonymous
()
Ответ на: комментарий от sdio

>command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

а это што? %%петросян.жпг%%

Я подозреваю, что он сам не знает, чего хотел

anonymous
()
Ответ на: комментарий от anonymous

Знает, знает). Всем спасибо, разобрался. tcpdump + iptables + скрипт. tcpdump слушает порт, как только чего-то ловит, сбрасывается таймер, если таймер дощелкал до конца, порт закрывается. Открывается, есессно, руками. knockd это да, но нужно было разобратся стандартными средствами, нереально на весь зоопарк ставить что-то еще.

zyxos2
() автор топика
Ответ на: комментарий от zyxos2

с каких это пор ваше поделие стало стандартным средством? у вас зоопарк из слак, лфс и гент? ну поздравляю, чо

anonymous
()
Ответ на: комментарий от zyxos2

zyxos2> tcpdump слушает порт, как только чего-то ловит, сбрасывается таймер, если таймер дощелкал до конца, порт закрывается.

хренасе велосипед! Вместо слежения за трафиком при помощи tcpdump, можно просто следить за счетчиком трафика на iptables.

sdio ★★★★★
()

предлагаю иптаблесом натить пакеты на отдельный хост внутри локалки, а специальным электроприбором из атмела и фотодатчика мониторить моргание лампочки на свитче и шонибудь куданибудь коммутировать. В результате не придётся ничего вообще ставить на весь зоопарк.

anonymous
()
Ответ на: комментарий от sdio

Что знаю, то и юзаю. Если подскажете, как следить за счетчиком трафика при помощи iptables, буду очень благодарен, т.к. с iptables знаком весьма поверхностно.

zyxos2
() автор топика
Ответ на: комментарий от anonymous

Стандартными средствами являются tcpdump и iptables.

zyxos2
() автор топика
Ответ на: комментарий от anonymous

Прошивку, схему подсоединения фотодатчика, и схему коммутации, пожалуйста. Меня очень заинтересовало ваше предложение.

zyxos2
() автор топика
Ответ на: комментарий от sdio

ещё -n чтобы оно имена не резолвило

anonymous
()
Ответ на: комментарий от zyxos2

я сначала knock предложил, а потом уже развил вашу мысль, не более того

anonymous
()
Ответ на: комментарий от zyxos2

Что знаю, то и юзаю. Если подскажете, как следить за счетчиком трафика при помощи iptables, буду очень благодарен, т.к. с iptables знаком весьма поверхностно.

Есть /proc/net/nf_conntrack, там же можно брать и кол-во пакетов для каждого соедтинения.

mashina ★★★★★
()

добавить правило iptables -A INPUT -p tcp --dport $порт -j ACCEPT (для счетчика пакетов). написать скрипт с циклом, парсить в нем iptables -L INPUT -v -n .запоминать время и счетчик пакетов. затем сравнивать. если по проществии 5 мин не пришло ни одного пакета, удалить правило.
profit!

Rost ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Ethernet over Ethernet
Admin
[iptv filter multicast] решение