Регистрация Войти
Рейтинг:0
Joe avatar Server

Debian как шлюз блокирует порт с ip

флаг cn
Joe

У меня есть несколько общедоступных IP-адресов за маршрутизатором Debian, подключенным к vms. Я хочу, чтобы определенный IP-адрес не мог использовать исходящий порт 25.

Я пробовал /sbin/iptables -A OUTPUT -o ens19 -p tcp --destination-port 25 -s xxx.xxx.xxx.xxx -j DROP вместе с несколькими другими комбинациями команд, но я не могу заставить его работать. Он будет блокировать исходящие порты на маршрутизаторе, но не для систем за ним.

41
1 + 1
флаг in
NiKiZe
Любой исходящий трафик с серверов также проходит через ваш маршрутизатор deb? `iptables -A FORWARD -p tcp --destination-port 25 -s xxx.xxx.xxx.xxx -j DROP` Обратите внимание на FORWARD и отсутствие -o
0
Ответить
Рейтинг:1
avatar Server
флаг in
NiKiZe

ВЫВОД идет от самой машины, для блокировки переадресованного трафика нужно ВПЕРЕД как в:

iptables -A FORWARD -p tcp --dport 25 -s xxx.xxx.xxx.xxx -j DROP

Также пропуская -о энс так как вы наверное хотите заблокировать порт 25 от этого IP вне зависимости от того на какой интерфейс он выходит, а также что в таблицах есть несколько мест где недоступна какая-то информация, чем меньше спецификация, тем меньше что может пойти не так.

0 + 9
Joe avatar
флаг cn
Joe
Я только что попробовал это, но, похоже, это не блокирует. Моя политика пересылки по умолчанию - принять?
0
Ответить
флаг in
NiKiZe
Во-первых, вы можете проверить, действительно ли весь исходящий трафик проходит через ваш маршрутизатор, а также проверить свои правила и убедиться, что у вас нет других правил, кроме этого.
0
Ответить
Joe avatar
флаг cn
Joe
Он должен пройти через этот маршрутизатор, чтобы получить доступ к более широкому Интернету. Вставка является результатом iptables -L https://pastebin.com/BmLARLBb (я тестировал ее с портом 80, чтобы убедиться, что правило работает).
0
Ответить
флаг in
NiKiZe
`iptables -vnL` попытаться найти правило, которое сработало, например, `iptables -A FORWARD -s x.x.x.x -j ACCEPT`
0
Ответить
Joe avatar
флаг cn
Joe
-vnl дает практически такой же результат. https://pastebin.com/bKGgGzpw настройка пересылки была сделана путем редактирования файла /etc/sysctl.conf не в iptables.
0
Ответить
Joe avatar
флаг cn
Joe
С дополнительным правилом переадресации это отображается как обработка данных. https://pastebin.com/LzQR3azw
0
Ответить
Joe avatar
флаг cn
Joe
Я думаю, что исправил это. Вместо --dport я изменил его на --sport.
0
Ответить
флаг in
NiKiZe
`--sport` - исходный порт, это не имеет особого смысла, спорт в большинстве случаев случайный. Вы уверены, что пытаетесь блокировать в правильном направлении?
0
Ответить
Joe avatar
флаг cn
Joe
--sport блокирует в исходящем или входящем направлении? Дпорт просто ничего не делал.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.