Не блокируются IP в IPTABLES

0

2

Добрый день, дамы и господа. Вобщем, пытаюсь заблокировать один IP злоумышленника, чтобы не заходил на сайт

Ввожу в консоль: iptables -I INPUT -s 1.1.1.1 -j DROP

Но все равно с IP 1.1.1.1 можно зайти на сайт, ладно, дальше

iptables -A INPUT -s 1.1.1.1 -j DROP

Но опять не помогает.

Как быть, ребята.

Я не совсем в этом понимаю :)

Ссылка

←	Контроль pppoe

Виртуал-машина для генты

→

Как быть, ребята.

Прочитать мануал про iptables перед тем как перекладывать проблемы своей образованности на людей с форума.

PS: Местные телепаты угадывают проблему по выводу iptables-save

ventilator ★★★
(10.03.13 21:56:36 MSK)

Ответ на: комментарий от ventilator 10.03.13 21:56:36 MSK

угадывают проблему по выводу iptables-save

лучше по iptables -vnL :-)

Иногда, с добавлением -t nat и/или -t mangle... Но сейчас не надо, наверное...

AS ★★★★★
(10.03.13 22:15:02 MSK)

IPTALES

cool tale, bro!

lazyklimm ★★★★★
(10.03.13 22:16:06 MSK)

Ссылка

Ответ на: комментарий от AS 10.03.13 22:15:02 MSK

лучше по iptables -vnL :-)

Среди юзеров этого форума, как мне показалось iptables-save популярнее, хотя мне каноничный iptables -vnL тоже кажется более надежным.

ventilator ★★★
(10.03.13 23:17:14 MSK)

Ответ на: комментарий от AS 10.03.13 22:15:02 MSK

по мне лучше iptables-save

anton_jugatsu ★★★★
(11.03.13 09:02:52 MSK)

IPTALES

Это что-то вроде «Утиных историй» для айтишников?

anonymous
(11.03.13 10:18:10 MSK)

Ответ на: комментарий от anton_jugatsu 11.03.13 09:02:52 MSK

по мне лучше iptables-save

А если его не будет вдруг ? Или если управление файрволом не этими скриптами осуществляется, а человек попробует, и, чего доброго, так настройки сохранит ?

AS ★★★★★
(11.03.13 10:59:51 MSK)

Вввожу в консоль: iptables -I INPUT -s 1.1.1.1 -j DROP

На самом веб-сервере вводишь или на чем-то перед ним (линукс роутер/файервол/...)?

anonymous
(11.03.13 11:00:01 MSK)

Ссылка

Ответ на: комментарий от ventilator 10.03.13 23:17:14 MSK

хотя мне каноничный iptables -vnL тоже кажется более надежным

Угу. Вот только при этом ты не увидишь таблиц mangle и nat, что иногда весьма важно. iptables-save даст более подробную информацию.

~~no-dashi~~ ★★★★★
(11.03.13 11:00:31 MSK)

Ссылка

Вообщем, пытаюсь заблокировать один IP-злоумышленника, чтобы не заходил на сайт

ССЗБ. Он сменит IP, и ты будешь снова «блокировать»? Ну-ну.

~~no-dashi~~ ★★★★★
(11.03.13 11:01:12 MSK)

Ссылка

Ответ на: комментарий от anonymous 11.03.13 10:18:10 MSK

IPTALES

Торопился, блин :)

[root@pavl ~]# iptables-save
# Generated by iptables-save v1.4.7 on Sun Mar 10 21:53:08 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [828194:117273385]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,22,80,99,1500:1505,27014:27050 -j AC                                                                                        CEPT
-A INPUT -p udp -m multiport --dports 29000,27000:27030 -j ACCEPT
-A INPUT -p udp -m udp -m string --hex-string "|17c74a30a2fb752396b63532b1bf79b0                                                                                        |" --algo kmp --to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|17951a20e2ab6d63d6ac7d62f1f721e0                                                                                        57cd4270e2f1357396f66522f1ed61f0|" --algo kmp --to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|178f5230e2e17d73d6bc6562f1ed29e0                                                                                        |" --algo kmp --to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp --                                                                                        to 65535 -j DROP
-A INPUT -p udp -m udp -m string --hex-string "|ffffffff6765746368616c6c656e6765                                                                                        000000000000|" --algo kmp --to 65535 -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -p icmp -m icmp --icmp-type any -j ACCEPT
COMMIT
# Completed on Sun Mar 10 21:53:08 2013

[root@pavl ~]#  route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

[root@pavl ~]#  ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:21:91:8B:5A:0A
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::221:91ff:fe8b:5a0a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:650224 errors:0 dropped:0 overruns:0 frame:0
          TX packets:869460 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:50952223 (48.5 MiB)  TX bytes:136622485 (130.2 MiB)
          Interrupt:19 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 00:15:58:46:AC:78
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:19 Base address:0xd400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1088 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1088 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:157509 (153.8 KiB)  TX bytes:157509 (153.8 KiB)

pavelstop
(11.03.13 11:16:22 MSK) автор топика

Ответ на: комментарий от AS 11.03.13 10:59:51 MSK

а человек попробует, и, чего доброго, так настройки сохранит ?

Внезапно:

iptables-save — dump iptables rules to stdout

edigaryev ★★★★★
(11.03.13 11:33:39 MSK)

Ссылка

Ответ на: комментарий от AS 11.03.13 10:59:51 MSK

А куда он денется? Правда, на каком-нибудь dir-100 может и не быть.

iptables-save > /etc/iptables.conf

anton_jugatsu ★★★★
(11.03.13 12:37:17 MSK)

Ответ на: комментарий от anton_jugatsu 11.03.13 12:37:17 MSK

А куда он денется ?

Например, вдруг etcnet захватит мир ? ;-)

AS ★★★★★
(11.03.13 12:45:28 MSK)

Ссылка

Ответ на: IPTALES от pavelstop 11.03.13 11:16:22 MSK

И где в выводе iptables-save хоть какие-то следы от

iptables -I INPUT -s 1.1.1.1 -j DROP ?

mky ★★★★★
(11.03.13 13:26:45 MSK)

Ответ на: комментарий от mky 11.03.13 13:26:45 MSK

re

Да, я тупой... Я забыл сохраниться... Я думал ввести команду и на этом все. Простите грешного. iptables-save забыл

pavelstop
(11.03.13 19:53:54 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Контроль pppoe

Admin

Виртуал-машина для генты

→

IPTALES

re

Похожие темы