IPTABLES - rozsah adres

Zdravím.
Rád bych zablokoval jakoukoliv odchozí komunikaci na rozsah adres 192.168.0.0 - 192.168.255.255

Zkoušel jsem následující:

$IPTABLES -A OUTPUT -s 192.168.0.0/192.168.255.255 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -j DROP

což bylo raděno ve většině stránek, které jsem vygooglil.
Jenže ani jedno mi nefunguje a ping např. na 192.168.5.67 pořád prochází

Kdežto když zadám např. jen

$IPTABLES -A OUTPUT -d 192.168.5.67 -j DROP

tak to zafunguje a ping křičí, že operation not permitted

Netušíte někdo, co dělám špatně?
Díky

Předmět	Autor	Datum
Podstatne je vediet ako mas spravenu siet, napriklad preco pouzivas output a nie forward. Preco nede… fleg 15.06.2013 15:29	fleg	15.06.2013 15:29
Právě jsem to vyřešil. To se mi občas stává, že na něco přijdu až poté, co se někde zeptám :) V ipt… tetronomicon 15.06.2013 15:31	tetronomicon	15.06.2013 15:31
síťím rozumim pramálo i ta čeština dostává zabrat. btw to je fakt takový problém napsat 192.168.0.… touchwood 15.06.2013 15:33	touchwood	15.06.2013 15:33
Přišel jsem sem jako začátečník, odpusť si, prosím, svou kritiku. Každý nerozumí všemu, proto jsem z… tetronomicon 15.06.2013 15:39	tetronomicon	15.06.2013 15:39
Pozri si aspon ako to vyzera, ked vstupi packet do systemu a ujasni si ako to je u teba. http://www.… fleg 15.06.2013 15:49	fleg	15.06.2013 15:49
Ale já nechci nic routovat, jenom zamezit z lokálního počítače přístup na daný rozsah adres. A mimoc… tetronomicon 15.06.2013 16:33	tetronomicon	15.06.2013 16:33
Samozrejme, ze chces routovat, ten pc, kde bezi IPTABLES je predsa router nie? A podstatne je, kde s… poslední fleg 15.06.2013 16:48	fleg	15.06.2013 16:48
už první Flegova rada byla naprosto správně a bylo tam i řešení, spolu s upozorněním, že Output chai… touchwood 15.06.2013 16:20	touchwood	15.06.2013 16:20

Podstatne je vediet ako mas spravenu siet, napriklad preco pouzivas output a nie forward. Preco nedefinujes protokol, v prvom priklade mas -s a v druhom -d (vyzera to nelogicky).
Skus popisat lepsie ako mas topologiu siete. Pokial je to privatny rozsah a routuje sa spravny zapis ma byt :
/usr/sbin/iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP

Právě jsem to vyřešil. To se mi občas stává, že na něco přijdu až poté, co se někde zeptám :)

V iptables jsem nikdy nic nedělal, síťím rozumim pramálo, takže ti na tvou otázku moc neodpovím.

Jen kdyby to někoho zajímalo, zafungovalo mi toto:

$IPTABLES -A OUTPUT -m iprange --dst-range 192.168.0.0-192.168.255.255 -j DROP

síťím rozumim pramálo

i ta čeština dostává zabrat.

btw to je fakt takový problém napsat 192.168.0.0/16 ?

tvé "řešení" je prasárna.

Přišel jsem sem jako začátečník, odpusť si, prosím, svou kritiku. Každý nerozumí všemu, proto jsem zde.
Mimochodem na tvém "btw" se čeština asi také moc nezahojí ;)

Pozri si aspon ako to vyzera, ked vstupi packet do systemu a ujasni si ako to je u teba.
http://www.netfilter.org/documentation/HOWTO//pack et-filtering-HOWTO-6.html
Pri routovani medzi dvoma sietami mas pouzit forward.

Ale já nechci nic routovat, jenom zamezit z lokálního počítače přístup na daný rozsah adres.
A mimochodem se vůbec nejedná o tyto zmíněné IP adresy, ty jsem uvedl jen jako příklad.

Samozrejme, ze chces routovat, ten pc, kde bezi IPTABLES je predsa router nie? A podstatne je, kde sa packety nachadzaju. Pokial nepochopis princip tak si radsej ziadne pravidla nevytvaraj.

už první Flegova rada byla naprosto správně a bylo tam i řešení, spolu s upozorněním, že Output chain platí pouze pro lokální linuxový stroj.

Zpět do poradny Odpovědět na původní otázku Nahoru