Iptables: bloccare porta su un ip

**xAnder** · 30-11-2010, 12:04

Ciao,

stavo cercando di scrivere qualche regola particolare con iptables e mi sono trovato difronte ad un problema.
Ho un server con due indirizzi ip assegnati e volevo bloccare l'accesso ad una porta da uno di questi due IP.

In pratica vorrei che tramite l'IP_1 venga negato l'accesso alla porta 2343, mentre con l'IP_2 rimanga tutto invariato.

Una regola funzionante è questa:

Codice:

iptables -t nat -A PREROUTING -p tcp -d *IP_1* --dport 2343 -j DROP

Tuttavia non credo sia il modo migliore per farlo.. anche perché ricevo questo messaggio di avvertimento:
The "nat" table is not intended for filtering, hence the use of DROP is deprecated and will permanently be disabled in the next iptables release. Please adjust your scripts.

**guest** · 30-11-2010, 22:40

Non ho capito, hai un server con 2 ip, supponiamo 1.1.1.1 e 2.2.2.2
Vuoi bloccare la porta 1.1.1.1:2345 in ingresso?

Codice:

iptables -A INPUT -p tcp -d 1.1.1.1/32 --dport 2345 -j DROP

**xAnder** · 01-12-2010, 09:08

Si, hai capito benissimo :-)
Grazie e mille per l'aiuto.

**guest** · 01-12-2010, 09:24

Con quella riga allora funziona.
In traffico in ingresso non passa dal prerouting, non stai nattando.

**Uno** · 01-12-2010, 09:32

Però, ok è una delle due scuole di pensiero e potrebbe non essere la vostra, non dovrebbe servire quella chiusura perchè all'inizio delle regole si dovrebbe chiudere tutto e poi aprire solo quello che serve.

**guest** · 01-12-2010, 09:38

Originariamente Scritto da Uno

Però, ok è una delle due scuole di pensiero e potrebbe non essere la vostra, non dovrebbe servire quella chiusura perchè all'inizio delle regole si dovrebbe chiudere tutto e poi aprire solo quello che serve.

Concordo con te. Ma ho risposto alla domanda...

**xAnder** · 01-12-2010, 10:45

Originariamente Scritto da Uno

Però, ok è una delle due scuole di pensiero e potrebbe non essere la vostra, non dovrebbe servire quella chiusura perchè all'inizio delle regole si dovrebbe chiudere tutto e poi aprire solo quello che serve.

Concordo con la scuola di pensiero.
Leggendo meglio il file di configurazione di apf ho trovato una funzione che fa al caso mio.

Codice:

# Virtual Network Sub-System (VNET) creates independent policy rule set for
# each IP on a system to /etc/apf/vnet/IP.rules. These rule files can be
# configured with conf.apf variables for unique but convenient firewall
# policies or custom iptables entries for even greater flexibility.
SET_VNET="1"

In questo modo posso aprire facilmente una porta su un ip secondario modificando il file IP.rules

Grazie ancora dei suggerimenti ;-)