iptables

0

0

Как забанить ip ? iptables`ом что бы все подключения по этому ip были сброшены, и больше не устанавливались.

Ссылка

←	Kill process name

Подписчикам Red Hat

→

iptables -A OUTPUT -d 1.2.3.4 -j DROP

Deleted
(27.08.10 03:04:23 MSD)

Ответ на: комментарий от Deleted 27.08.10 03:04:23 MSD

Мне на входящие подключения

ANGELOS
(27.08.10 03:11:45 MSD) автор топика

Ответ на: комментарий от ANGELOS 27.08.10 03:11:45 MSD

iptables -A INPUT -s 1.2.3.4 -j DROP

Igron ★★★★★
(27.08.10 03:38:31 MSD)

Ссылка

а man iptables никак не прочитать?

ptah_alexs ★★★★★
(27.08.10 06:00:20 MSD)

Ответ на: комментарий от ptah_alexs 27.08.10 06:00:20 MSD

man man это понятно.
man iptables тоже хорошо.
Но мне нужно сделать сброс установленых подключений после DROP`a.
iptables не принимает более подключений по забаненому ip, это не создает новых конектов, но при этом после DROP`а конекты с забаненого ip еще какое-то время весят, как их сбросить ??

ANGELOS
(27.08.10 14:58:05 MSD) автор топика

Ссылка

Ответ на: комментарий от ptah_alexs 27.08.10 06:00:20 MSD

DROPнул ip, а с него продолжает висеть 150 конектов, уже около часа.

ANGELOS
(27.08.10 15:12:35 MSD) автор топика

Ответ на: комментарий от ANGELOS 27.08.10 15:12:35 MSD

REJECT

This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to DROP so it is a terminating TARGET, ending rule traversal. This target is only valid in the INPUT, FORWARD and OUTPUT chains, and user-defined chains which are only called from those chains. The following option controls the nature of the error packet returned:

не то?

ptah_alexs ★★★★★
(27.08.10 16:15:49 MSD)

Ссылка

Ответ на: комментарий от ANGELOS 27.08.10 15:12:35 MSD

Какой state этих коннектов?

Время каждого состояния:

root@vps:~# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_*
10
60
432000
120
30
300
60
120
120
root@vps:~# ls /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_*
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_max_retrans
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait

NONE	30 minutes
ESTABLISHED	5 days
SYN_SENT	2 minutes
SYN_RECV	60 seconds
FIN_WAIT	2 minutes
TIME_WAIT	2 minutes
CLOSE	10 seconds
CLOSE_WAIT	12 hours
LAST_ACK	30 seconds
LISTEN	2 minutes

Утилита ss и состава iproute позволяет удобно сортировать:

С кем мой хост устаноыил соединение на 80-порту:

[jugatsu@lenovo ~]$ ss state established dport = :http 
Recv-Q Send-Q                                 Local Address:Port                                     Peer Address:Port   
0      345                                     192.168.1.51:34288                                  195.82.146.123:www     
0      0                                       192.168.1.51:35379                                   74.125.77.100:www     
0      1024                                    192.168.1.51:40576                                 109.184.237.101:www     
0      0                                       192.168.1.51:41811                                    74.125.3.213:www     
0      0                                       192.168.1.51:41104                                   74.125.104.29:www

anton_jugatsu ★★★★
(27.08.10 22:16:49 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Kill process name

General

Подписчикам Red Hat

→

Похожие темы