IPTABLES - rozsah adres
Zdravím.
Rád bych zablokoval jakoukoliv odchozí komunikaci na rozsah adres 192.168.0.0 - 192.168.255.255
Zkoušel jsem následující:
$IPTABLES -A OUTPUT -s 192.168.0.0/192.168.255.255 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -j DROPcož bylo raděno ve většině stránek, které jsem vygooglil.
Jenže ani jedno mi nefunguje a ping např. na 192.168.5.67 pořád prochází
Kdežto když zadám např. jen
$IPTABLES -A OUTPUT -d 192.168.5.67 -j DROPtak to zafunguje a ping křičí, že operation not permitted
Netušíte někdo, co dělám špatně?
Díky
Podstatne je vediet ako mas spravenu siet, napriklad preco pouzivas output a nie forward. Preco nedefinujes protokol, v prvom priklade mas -s a v druhom -d (vyzera to nelogicky).
Skus popisat lepsie ako mas topologiu siete. Pokial je to privatny rozsah a routuje sa spravny zapis ma byt :
/usr/sbin/iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP
Právě jsem to vyřešil. To se mi občas stává, že na něco přijdu až poté, co se někde zeptám :)
V iptables jsem nikdy nic nedělal, síťím rozumim pramálo, takže ti na tvou otázku moc neodpovím.
Jen kdyby to někoho zajímalo, zafungovalo mi toto:
i ta čeština dostává zabrat.
btw to je fakt takový problém napsat 192.168.0.0/16 ?
tvé "řešení" je prasárna.
Přišel jsem sem jako začátečník, odpusť si, prosím, svou kritiku. Každý nerozumí všemu, proto jsem zde.
Mimochodem na tvém "btw" se čeština asi také moc nezahojí ;)
Pozri si aspon ako to vyzera, ked vstupi packet do systemu a ujasni si ako to je u teba.
http://www.netfilter.org/documentation/HOWTO//pack et-filtering-HOWTO-6.html
Pri routovani medzi dvoma sietami mas pouzit forward.
Ale já nechci nic routovat, jenom zamezit z lokálního počítače přístup na daný rozsah adres.
A mimochodem se vůbec nejedná o tyto zmíněné IP adresy, ty jsem uvedl jen jako příklad.
Samozrejme, ze chces routovat, ten pc, kde bezi IPTABLES je predsa router nie? A podstatne je, kde sa packety nachadzaju. Pokial nepochopis princip tak si radsej ziadne pravidla nevytvaraj.