Перейти до

Нужна помощь гуру в iptables


Рекомендованные сообщения

Суть такова в скрипте OnConnect добавляю правила:

 

iptables -t filter -I INPUT -s $ip -j QUEUE
iptables -t filter -I FORWARD -s $ip -j QUEUE
iptables -t filter -I FORWARD -d $ip -j QUEUE
iptables -t filter -I OUTPUT -d $ip -j QUEUE

 

Никаких как бы жалоб, пока не заметил некоторое. Этими фильтрами я перекриваю все фильтра дропов портов, которые я создал в iptables.

 

Например, закриваю 25 порт.

iptables -I FORWARD 1 -p tcp --dport 25 -j DROP
iptables -I FORWARD 1 -p tcp --sport 25 -j DROP 

 

Юзер подключается и ему пофик мои дропы по портам.

 

Как вычитал я об QUEUE, получается что:

Пакеты после действия queue обратно в цепочки не возвращаются, в итоге все зафильтрованые порты остаются открыты.

Что посоветуете?

Ссылка на сообщение
Поделиться на других сайтах

попробуй вместо -I поставь -A

 

iptables -t filter -A INPUT -s $ip -j QUEUE

iptables -t filter -A FORWARD -s $ip -j QUEUE

iptables -t filter -A FORWARD -d $ip -j QUEUE

iptables -t filter -A OUTPUT -d $ip -j QUEUE

Ссылка на сообщение
Поделиться на других сайтах
  • 4 months later...

Ребята, подскажите как убрать из шейпа пакеты ICMP

Шейр работает таким вот образом:

 

iptables -t mangle -A FORWARD -d $IP -j MARK --set-mark $mark
iptables -t mangle -A FORWARD -s $IP -j MARK --set-mark $mark1

#Download
##########################################################################################
# INET
tc class add dev $int_iface_down parent 1:1 classid 1:$mark htb rate $speedkb
tc filter add dev $int_iface_down parent 1: protocol ip prio 3 handle $mark fw classid 1:$mark


#Upload
##################################
# INET
tc class add dev $int_iface_up parent 1:1 classid 1:$mark1 htb rate $speedkb
tc filter add dev $int_iface_up parent 1: protocol ip prio 3 handle $mark1 fw classid 1:$mark1
###########################################################################################

 

Как я вычитал можно просто при маркировке изключить эти пакеты таким вот образом

-p ! icmp

И того маркировка будет выглядеть вот так.

iptables -t mangle -A FORWARD -p ! icmp -d $IP -j MARK --set-mark $mark

 

Чего спрашиваю, пока нету где это все попробовать, а особо не хочется на рабочем серваке играться.

Благодарю за подсказки.

Ссылка на сообщение
Поделиться на других сайтах

Ребята, подскажите как убрать из шейпа пакеты ICMP

 

Как я вычитал можно просто при маркировке изключить эти пакеты таким вот образом

-p ! icmp

И того маркировка будет выглядеть вот так.

iptables -t mangle -A FORWARD -p ! icmp -d $IP -j MARK --set-mark $mark

 

Чего спрашиваю, пока нету где это все попробовать, а особо не хочется на рабочем серваке играться.

Благодарю за подсказки.

 

только правильнее было бы

iptables -t mangle -A FORWARD ! -p icmp -d $IP -j MARK --set-mark $mark

 

так как -p ! icmp уже DEPRECATED но вообще да - правильно.

Ссылка на сообщение
Поделиться на других сайтах

только правильнее было бы

iptables -t mangle -A FORWARD ! -p icmp -d $IP -j MARK --set-mark $mark

 

так как -p ! icmp уже DEPRECATED но вообще да - правильно.

 

Эм, ну а как будет более правильно? То, что это запись без ошибок это одно, я чесно говоря и сам почти в этом был уверен,

а вот как будет более технически и правильнее, шо-то с этим ICMP сделать.

Ссылка на сообщение
Поделиться на других сайтах

только правильнее было бы

iptables -t mangle -A FORWARD ! -p icmp -d $IP -j MARK --set-mark $mark

 

так как -p ! icmp уже DEPRECATED но вообще да - правильно.

 

Эм, ну а как будет более правильно? То, что это запись без ошибок это одно, я чесно говоря и сам почти в этом был уверен,

а вот как будет более технически и правильнее, шо-то с этим ICMP сделать.

 

ну если ты хочешь чтоб в этот фильтр попадало все кроме icmp - это технически правильно.

Ссылка на сообщение
Поделиться на других сайтах

Благодарю!

Уже сменил правила.

Попробовал себе поставить 128кб, загрузил под потолок эти 128 кб - и попробовал пинговать что-то, пинги проходять хорошо. А, раньше - если загружаешь полностью свою полосу, пинги росли аж 2 сек, ну и понятно почему. )))

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...