iptables 1.4.11 Не работает инвертирование [!] --критерий

0

1

День добрый. linux 2.6.39, iptables 1.4.11
Ввожу два правила.

# iptables -A OUTPUT -p tcp -m multiport ! --dport 222 -j ACCEPT
# iptables -A OUTPUT -p tcp ! --dport 222 -j ACCEPT

получаю

109 10887 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport dports !222
0 0 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:222

- во второй строке не распозналась инверсия --dport.. Получается, что для tcp проблемы с парсером опций... То говорят и разрабы, патч выпустили соответствующий (iptables 1.4.11.1), якобы с фиксом..
http://comments.gmane.org/gmane.comp.security.firewalls.netfilter.general/42618
http://netfilter.org/projects/iptables/files/changes-iptables-1.4.11.1.txt

Вопрос.. у меня ли одного после применения последнего патча не заработало инвертирование, и будет ли нормально работать ipset, если поставить iptables 1.4.10.. Ядро, повторюсь, 2.6.39, все вкручено как надо.

Ссылка

←	postfix vs gmail: certificate verification failed

[OpenVZ]: Unable to open pty после vzrestore

→

>! --dport 222

А оно должно работать?, инвертирование, может все же

--dport ! 222

lvi ★★★★
(17.06.11 16:52:23 MSK)

Ответ на: комментарий от lvi 17.06.11 16:52:23 MSK

Никак нет. В свежих iptables (непомню, с какой именно, вроде с 1.4.4) они изменили синтаксис именно на такой, как я писал. Если у тебя свежий фаервол - сам попробуй так написать.
Матерится по-страшному :)

PATRI0T ★
(17.06.11 18:41:08 MSK) автор топика

Ответ на: комментарий от PATRI0T 17.06.11 18:41:08 MSK

Пока выкручиваюсь с помощью модуля Multiport.. С ним парсится все нормально. Надеюсь, больше косяков нигде не вылезет.

PATRI0T ★
(17.06.11 20:43:15 MSK) автор топика

Ответ на: комментарий от PATRI0T 17.06.11 20:43:15 MSK

net-firewall/iptables-1.4.11.1-r2 && 2.6.39-gentoo
Работает как положено.

NightSpamer ★
(20.06.11 15:38:49 MSK)

Ссылка

Ответ на: комментарий от PATRI0T 17.06.11 18:41:08 MSK

>Никак нет. В свежих iptables (непомню, с какой именно, вроде с 1.4.4) они изменили синтаксис

Да, действительно, есть такое. У меня где файрвол, то это сервер, где сервер, - то это Цент. Ядра они резко не меняют, во всх пятерках, 2.6.18, что 5.0, что 5.6, соответственно iptables 1.3.5.

Дома Сайнстифик 6.0 есть, прийду посмотрю что там.

lvi ★★★★
(20.06.11 15:40:21 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	postfix vs gmail: certificate verification failed

Admin

[OpenVZ]: Unable to open pty после vzrestore

→

Похожие темы