Непонятная ситуация со спамом с моей сети

[KaYot 3 708]

Ну значит где-то раньше правило на accept есть, логично? Нет никаких сложностей с правилами для pppoe и НАТа, адреса меняются в самом конце обработки при выходе пакета из интерфейса(postrouting).

Ну а попадают в обработку уже без pppoe-обертки, она только на L2 и видна(tcpdump).

Відредаговано 2014-01-20 12:35:52 KaYot

[_seth_ 2]

Ну значит где-то раньше правило на accept есть, логично? Нет никаких сложностей с правилами для pppoe и НАТа, адреса меняются в самом конце обработки при выходе пакета из интерфейса(postrouting).

Ну а попадают в обработку уже без pppoe-обертки, она только на L2 и видна(tcpdump).

Ну вообще логично, но ведь дальше я его запрещаю, т.е. должно быть разрешено все что не запрещено. В даном случае я пытаюсь запретить уход пакетов на 25 порт в цепочке, которая лежит до ПОСТРОУТИНГ, потому его и не фильтрует. В терминах iptables - в какой цепочке снимается pppoe-обертка?

 

Защита основывается на скрите из руководства по iptables, что бы не толочь воду в ступе порядок там таков:

# По-умолчанию выбрасывать все пакеты
        $IPT -P INPUT DROP
        $IPT -P OUTPUT DROP
        $IPT -P FORWARD DROP 

...................................................................................

$IPT -A FORWARD -p tcp -j bad_tcp_packets (даная цепочка есть в руководстве, не привожу что бы не перегружать пост)

# Accept the packets we actually want to forward
#

$IPT -A FORWARD -i $LAN_IFACE -j ACCEPT - это правило для служебных машин, которые натятся напрямую без пппое
..............
здесь форвардятся сети серых адресов
..............
$IPT -A FORWARD -s 10.2.0.0/23 -j ACCEPT    - сеть, источник спама

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT - даное правило взято из руководства, используется здесь, что бы не нагружать процессор лишней проверкой (я так понял)

Вообще мне кажется, что я упускаю какой то элементарный ньюанс, который лежит на поверхности...

Відредаговано 2014-01-20 13:54:43 _seth_

[KaYot 3 708]

Ну все логично. Добавьте правило дропа до акцентов..

[BUM 241]

 

Правила у вас бредовые. Нужен форвард, SRC IP ваши серые а не адрес интерфейса.

Хм, думал что уже приводил, пробовал я так:

iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP
или вообще так
iptables -A FORWARD -p tcp --dport 25 -j DROP

эфекта нет.

 

Замените -A на -I

[_seth_ 2]

 

 

Правила у вас бредовые. Нужен форвард, SRC IP ваши серые а не адрес интерфейса.

Хм, думал что уже приводил, пробовал я так:

iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP
или вообще так
iptables -A FORWARD -p tcp --dport 25 -j DROP

эфекта нет.

 

Замените -A на -I

 

Ради интереса я все же попробовал:

iptables -I FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP

но эфекта не заметил. В чем разница межу -А и -I? -А добавляет правило в конец цепочки, -I - в указаную позицию. Если я добавлю дроп перед акцептом, то акцепт его все равно отменит...

 

 

 

Ну все логично. Добавьте правило дропа до акцентов..

Эм, я вас не понял. Правила что я выше приводил неверны?

[KaYot 3 708]

Вы не понимаете смысла iptables. Срабатывает ТОЛЬКО первое правило в цепочке. После срабатывания drop/accept трафик идёт в следующую таблицу.

Добавьте дроп в начало фаервола.

Відредаговано 2014-01-20 14:34:54 KaYot

[_seth_ 2]

Вы не понимаете смысла iptables. Срабатывает ТОЛЬКО первое правило в цепочке. После срабатывания drop/accept трафик идёт в следующую таблицу.

Добавьте дроп в начало фаервола.

Друг! Теперь понял, благодярю за терпение и помощь!