+- انجمن کاربران لینوکس ایران - تکنوتاکس سابق (https://forum.sito.ir)
+-- انجمن: پرسشها و پاسخها (https://forum.sito.ir/forumdisplay.php?fid=3)
+--- انجمن: لینوکس و امنیت (https://forum.sito.ir/forumdisplay.php?fid=9)
+--- موضوع: iptables rule problem (/showthread.php?tid=16109)
iptables rule problem - مهمان - 2010-07-31
سلام
می خواهم بر روی کش سرورم یک rule بنویسم، بدین صورت که هیچ یک از کلاینت ها نتوانند مرا ping کنند ولی من بتوانم آنها را ping کنم. من rule های زیر را نوشتم ولی جوابی نگرفتم.
کد :
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p icmp -s 192.168.23.1/24 -d 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -s 192.168.23.1/24 -d 0/0 -j ACCEPTبا فرض اینکه آدرس سرور من 192.168.23.1 است.
لطفا مثل همیشه کمک کنید
متشکرم.
پاسخ: iptables rule problem - alux - 2010-08-02
سلام
رول های شما اشتباست
کافیه فقط اینو بنویسید
iptables -A INPUT -p icmp -d Your_IP -j DROP
Re: پاسخ: iptables rule problem - مهمان - 2010-08-02
alux نویسنده :سلام
رول های شما اشتباست
کافیه فقط اینو بنویسید
iptables -A INPUT -p icmp -d Your_IP -j DROP
از پاسخی که دادید متشکرم ولی درستش اینه
کد :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROPکلی گشتم تا پیداش کردم. تقدیم به دوستداران Linux
موفق باشید.
پاسخ: Re: پاسخ: iptables rule problem - tolstoy - 2010-08-03
قربونت برم آخه اینکه نوشتی چه ربطی به ping و سوال شما داره آخه
تقدیمیتون رو من پس می دم اصلاحش کنید لطفا
پاسخ: Re: پاسخ: iptables rule problem - hashem_wolf - 2010-08-03
كلا با راپ كردن پكت هاي icmp از هر سمت (مبدا به مقصد با بلعكس ) ميتوان تست ارسال و برگشت با ping مسدود كرد!!
ولي هدف در اينجا چي بوده؟!
- مهمان - 2010-08-03
کاملا هم درسته قربونت برم.
من می خوام هیچ کلاینتی نتونه سرور رو ببینه ولی سرور همه رو ببینه! ICMP فقط یک موردش بود ولی رول های بالا همه ترافیک را شامل میشه.
ضمنا تقدیمم را پس می گیرم چو فکر کنم هر کسی ارزشش رو نداره.
- mah454 - 2010-08-03
نقل قول :ضمنا تقدیمم را پس می گیرم چو فکر کنم هر کسی ارزشش رو نداره.پسر جان من اینقدر کل کل نکن .... .
بالاخرا کلاینت ها می خواهند از سرور استفاده کنند یا نه .
حتی اگه هم بخواهید تمام ترافیک شبکه شامل تمام پروتکل ها رو شامل بشه باز هم اون رول هایی که شما گزاشتید هیچ کاری نمی کند .
- مهمان - 2010-08-03
من مثل شما نیستم که با کسی کل کل کنم. با پاسخی که دادید کاملا معلومه که چقدر از Firewalling می دونید. با اینحال تقصیر شما نیست، مقصر خود منم که اینجور مشکلات رو اینجا بیان می کنم. جاهای بهتری هم هست که افراد متخصص و با سواد بجای کل کل کردن جوابتو می دن.
- moonfriend - 2010-08-03
کد :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROPاگه اشتباه نکنم شما با سه تا خط اول تمام پکیجهایی که کانکشن دارن رو قبول میکنید و با سه تای آخر همه رو دراپ میکنید.
ولی ربطی به پینگ نداشت ها.
فقط بگو بعد که اجرا کردی شبکهتون کار کرد؟
- مهمان - 2010-08-03
بله! و دقیقا نتیجه ای را که می خواستم گرفتم.
- tolstoy - 2010-08-04
کار کردن که کار می کنه ولی سوال با جواب هماهنگی نداره
در تاپیک دوم خودشون هم گفتند به جای اعمال برای پینگ برای کل پروتکل ها اعمال کردند
- alux - 2010-08-04
دوست عزیز این رولی که نوشتید اشتباهه و این اون چیزی نیست که شما می خواستید
جواب شما که می گید کار می کنه مثل اینه که سوال شما این باشه که می خواهم پورت 80 را باز کنم و برای اون تمام پرت ها را باز کنید و بگید درست شد کار می کنه
- مهمان - 2010-08-04
حق با شماست.
در ابتدا به دنبال بستن Ping بودم (برای امتحان)، و پس از جستجو به رول های بالا رسیدم که علاوه بر Ping سایر پروتکل ها رو هم می بنده و فقط پروتکل هایی را که می خوام می تونم دستی باز کنم. در اصل می خواستم یک دیوار به دور سرورم بکشم تا جلوی تهدید های احتمالی رو بگیرم.
- Zouup - 2010-08-13
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP