LINUX.ORG.RU

Вопрос по цели конкретного правила iptables

 


0

1

Зачем админы моего сервера сделали данное правило ?

-A FORWARD -s IP моего домашнего интернета/32 -j DROP

В input блокировки этого IP нет, по ssh, ftp захожу - всё нормально. С почтовым сервером с этого IP работаю - всё нормально.

Не могу понять смысл этого ограничения ?

★★

Форвард это что-то с маршрутизацией, может хотят чтобы ты мог только на сервер заходить?
Попробуй пингануть соседние компьютеры.

torvn77 ★★★★★
()
Ответ на: комментарий от anonymous

Непонятно объяснил ?

Попробую подробнее:

1. Есть сервер у хостера, который поддерживают админы мной нанятые 2. Есть у меня дома интернет от Билайн 3. Есть вышеуказанное правило в iptables на этом сервере которые эти админы зачем-то сделали. Где «IP моего домашнего интернета» это IP который Билайн выдал для домашнего интернета.

Не могу понять цель этого праила.

suffix ★★
() автор топика
Ответ на: комментарий от suffix

Просто сделай и выложи...

ip a
curl ipinfo.io/ip
И ip в правилах iptables. Реальные можешь заменить на любые, главное, чтобы соответствие было между ними.

anonymous
()
Ответ на: комментарий от torvn77

Там нет никакой цепочки - чуть выше я более подробно описал ситуацию. Виноват - в первом сообщении наверное путанно написал.

suffix ★★
() автор топика
Ответ на: комментарий от anonymous
[root@mail ~]# ip a                                                                                                                                            
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000                                                                    
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00                                                                                                      
    inet 127.0.0.1/8 scope host lo                                                                                                                             
       valid_lft forever preferred_lft forever                                                                                                                 
    inet6 ::1/128 scope host                                                                                                                                   
       valid_lft forever preferred_lft forever                                                                                                                 
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000                                                                  
    link/ether xx:xx:xx:xx:xx:10 brd ff:ff:ff:ff:ff:ff                                                                                                         
    inet xxx.xxx.xxx.215/32 brd xxx.xxx.xxx.215 scope global eno1                                                                                              
       valid_lft forever preferred_lft forever                                                                                                                 
    inet xxx.xxx.xxx.213/16 brd xxx.xxx.xxx.255 scope global eno1                                                                                              
       valid_lft forever preferred_lft forever                                                                                                                 
    inet xxx.xxx.xxx.233/32 brd xxx.xxx.xxx.233 scope global eno1                                                                                              
       valid_lft forever preferred_lft forever                                                                                                                 
    inet6 xxxx:xxxx:x:xx::2/64 scope global                                                                                                                    
       valid_lft forever preferred_lft forever                                                                                                                 
    inet6 xxxx::xxx:xxxx:xxxx:b110/64 scope link                                                                                                               
       valid_lft forever preferred_lft forever                                                                                                                 
3: eno2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000                                                                          
    link/ether xx:xx:xx:xx:xx:11 brd ff:ff:ff:ff:ff:ff                                                                                                         
[root@mail ~]# curl ipinfo.io/ip                                                                                                                               
xxx.xxx.xxx.213                                                                                                                                                  

В iptables кроме IP забанненых fail2ban одно правило что в первом сообщении приводил:

-A FORWARD -s ХХ.ХХХ.ХХ.61/32 -j DROP

suffix ★★
() автор топика
Ответ на: комментарий от torvn77

Я читал - так этом же и дело что нет никаких цепочек.

И странно почему IP домашнего подключения только ? Я на сервер и с телефона и с работы захожу - этих то IP в правилах iptables нет.

suffix ★★
() автор топика
Ответ на: комментарий от suffix

Может оно осталось от чегото и его просто забыли удалить?

А вообще гадать о смысле правила без просмотра всех цепочек дело безаолезное.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от suffix

Я читал - так этом же и дело что нет никаких цепочек.

Цепочка в iptables это исходное понятие, даже если ты удалишь из iptables всё то у тебя всё равно останутся вшитые дефолтные цепочки.

Их не может не быть и вообще, все настройки iptables храняться внутри цепочек.

В общем марш читать мануальник.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

Может оно осталось от чегото и его просто забыли удалить?

Блин, наверное так и есть.

Ну и фиг с ним - а админов спросить стесняюсь - и так наверное меня ламером считают (что правда) за мои вопросы тупые периодические :)

suffix ★★
() автор топика

FORWARD - цепочка, в которой находятся правила для маршрутизации (перенаправления пакетов).

Есть смысл выложить полный список цепочки для полноты картины, но и если в двух словах:

если бы была цепочка INPUT вместо FORWARD - у вас бы не было доступа к серверу (если конечно правило в нужном порядке стоит).

Тк там FORWARD, то при маршрутизации (перенаправлении) пакетов с IP VPS (вашей т.е.) куда-либо еще - ваш сервер откажет вам в этом.

momi
()
Ответ на: комментарий от suffix

Да удалил уже просто это правило :)

LOL.

FORWARD - это когда пакет появился извне и идёт вовне, а не создан (OUTPUT) или предназначен для (INPUT) локальной системы. Иначе говоря, не должно быть ситуации, когда пакет имеет в качестве адреса отправителя твой IP, но каким-то образом оказался создан не твоей системой.

Поэтому правило

-A FORWARD -s IP моего домашнего интернета/32 -j DROP

это такая защита от спуфинга. Не надо его удалять, если не понимаешь, что творишь.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

1. Я на сервер (ssh, ftp, ispmanager, админка сайта) захожу как из дома так и с мобильного провайдера с телефона, так и с работы - однако правило только для ip домашнего интернета. 2. Но Вы меня напугали - спросил админов. Оказывается год назад они тестировали супер-защиту и когда я дома htaccess на сайте правил она меня заблокировала везде. Когда я им написал что на сайт попасть не могу они правило в input убрали а в forward просто забыли :)

Так уважаемый torvn77 оказался прав а Вам не стоит умных слов про спуфинг писать если не понимаете что на самом деле произошло :)

suffix ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.