Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2012-03-31 17:53:36
Nicram - 
Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
ipset + iptables RETURN
Witam
może zadam głupie pytanie, ale zastanawiam się nad akcją RETURN w iptables. Dokumentacja mówi o tym, iż opcja ta wraca pakiet do łańcucha, który go wysłał.
może na przykładzie. przeszukuję sieć odnośnie ipset i w wielu przykładach w łańcuchu mam RETURN.
Kod:
ipset -N MAC_ALLOW macipmap --from 192.168.0.2 --to 192.168.12.255 ipset -A MAC_ALLOW 192.168.1.100,00:12:21:31:41:51 iptables -P FORWARD DROP iptables -N MAC_ALLOW iptables -A INPUT -i ! WAN -m state --state NEW -j MAC_ALLOW iptables -A FORWARD -o WAN -m state --state NEW -j MAC_ALLOW iptables -A MAC_ALLOW -m set --set MAC_ALLOW src -j RETURN iptables -A MAC_ALLOW -j DROP
czyli podążając za dokumentacją do łańcucha MAC_ALLOW pakiety wrzucił łańcuch FORWARD gdzie trafia on na RETURN i z powrotem wraca do FORWARD ale już za tą regółkę. w forwardzie trafi na DROP, jak mówi polityka.
I tu moje pytanie. czy w takim przypadku pakiet zostanie zDROPowany? w tej chwili nie mam za bardzo jak to sprawdzić (hospital) więc stąd moje pytanie do Was.
Z góry dzięki za odpowiedź.
Ostatnio edytowany przez Nicram (2012-03-31 18:14:04)
Offline
#2 2012-03-31 22:25:52
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: ipset + iptables RETURN
Dziwnie to wykombinowałeś.
Ja dałbym domyślnie
Kod:
iptables -P FORWARD DROP
Potem
Kod:
iptables -I FORWARD -m set --set MAC_ALLOW src -j ACCEPT
i gotowe.
W rezultacie, jeśli mac i ip się zgadzają z MAC_ALLOW - jest net, || nie ma neta, czyli dokładnie to, co zazwyczaj chce się uzyskać stosując ipset macipmap.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-03-31 22:27:08)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2012-04-01 09:31:57
Nicram - Użytkownik
- Nicram
- Użytkownik
- Zarejestrowany: 2006-03-28
Re: ipset + iptables RETURN
Jacekalex napisał(-a):
Dziwnie to wykombinowałeś.
Ja dałbym domyślnieKod:
iptables -P FORWARD DROPPotem
Kod:
iptables -I FORWARD -m set --set MAC_ALLOW src -j ACCEPTi gotowe.
Tak, zgadzam się z Tobą całkowicie, z tym, że moim przykładowym założeniem jest RETURN. Nie to, że się przy tym upieram, tylko chciałbym się upewnić czy dobrze rozumiem samą politykę przepływania pakietów przez łańcuchy.
Offline
#4 2012-04-01 09:43:24
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: ipset + iptables RETURN
Możesz debugować firewalla przez moduł TRACE w tablicy raw.
np:
Kod:
iptables -t raw -A PREROUTING -p tcp --destination 192.168.0.0/24 --dport 80 -j TRACE iptables -t raw -A OUTPUT -p tcp --destination 192.168.0.0/24 --dport 80 -j TRACE
Wtedy w messages będziesz miał pokazane pakiety razem z oznaczeniem tablicy przez którą przechodzą.
Sznurek: http://serverfault.com/questions/78240/debugging-rules-in-iptables
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-04-01 09:50:24)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline