So lassen Sie nur das Subnetz für den Port mit iptables zu

0

Was ich versuche zu tun, ist, irgendwelche Pakete zu spezifischem UDP-Hafen zu TROPFEN, ausgenommen die von meinem gesicherten Teilnetz 10.8.0.0/24.

iptables -t nat -A --src 10.8.0.0/24 -p udp --destination-port 63210 -j ACCEPT

Ich erhalte diesen Fehler: Bad argument: 10.8.0.0/24

Ich verstehe nicht, warum das nicht funktioniert ...

  • Warum sagt dieser Befehl, dass IP ein schlechtes Argument ist?
  • Wie kann ich andere Pakete außerhalb des Subnetzes DROPEN?
  • Sollte ich NAT-Tabelle verwenden?
  • Wie kann man das erreichen?

Ich habe eine Lösung wie diese gefunden:

AKTUALISIEREN

iptables -N xchain
iptables -A xchain --source 10.8.0.0/24 -j ACCEPT
iptables -A xchain -j DROP
iptables -I INPUT -p udp --dport 63210 -j xchain

Nachdem ich das angewendet habe, kann ich nicht auf Hafen von IRGENDEINEM IP zurückgreifen ...

PROBLEM Ich habe einen OpenVPN-Server auf der tun0-Schnittstelle eingerichtet, der Pakete wie folgt an eth0 weiterleitet:

iptables -I FORWARD -i tun0 -o eth0 \
         -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT

iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED \
         -j ACCEPT

iptables -t nat -I POSTROUTING -o eth0 \
          -s 10.8.0.0/24 -j MASQUERADE

Die Frage ist, wie man tun0-Verkehr auffängt und ihn filtert, anstatt eth0, wo IPs real werden.

ubuntu ip firewall iptables subnet Croll
quelle

Antworten:

0

Versuchen Sie stattdessen, die NAT-Tabelle zu blockieren, die FORWARD-Tabelle.

iptables -A FORWARD --src 10.8.0.0/24 -p udp --destination-port 63210 -j ACCEPT

iptables -A FORWARD -p udp --bestimmungsort-port 63210 -j DROP

Dadurch werden die Pakete für Ihr LAN akzeptiert und alles andere (für diesen Port) verworfen, das über den Router weitergeleitet wird - auch wenn NAT beteiligt ist. Beachten Sie, dass Anforderungen, die vom Router selbst ausgehen oder von diesem beendet werden, nicht abgefangen werden, da Sie statt der Weiterleitungskette den EINGANG und / oder den AUSGANG verwenden würden.

Die Weiterleitungskette wird vor der NAT-Kette analysiert, sodass Sie die darin enthaltenen Quell- und Ziel-IP-Adressen abgleichen können.

Davidgo
quelle
Nun, ich habe 10.8.0.0/24 ips nur auf tun0 ... krank versuchen
Croll
Den von mir angegebenen Regeln ist es egal, über welche Schnittstelle der Datenverkehr ein- oder ausgeht, und sie wirken sich auf alle Schnittstellen aus.
Davidgo