Iptables na routeru
Hledám, trápím google a nic moc jsem nenašel. Chci blokovat rozsah adres nějak takto:
###facebook
IPTABLES -A FORWARD -m iprange --src-range 66.220.144.0-66.220.159.255 -j DROP
IPTABLES -A FORWARD -m iprange --src-range 69.63.176.0-69.63.191.255 -j DROP
IPTABLES -A FORWARD -m iprange --src-range 204.15.20.0-204.15.23.255 -j DROP
IPTABLES -A FORWARD -m iprange --src-range 69.171.220.0-69.171.244.255 -j DROP
IPTABLES -A FORWARD -m iprange --src-range 80.239.230.128-80.239.231.254 -j DROPjenže když to přidám do firewall.user tak při ukládání vyhodí hlášku: IPTABLES: File not found
Věděl by někdo co dělám blbě?
Přitom v Iptables fungují další pravidla bez problému. Je to router Asus WL-500gx s OpenWrt White Russian 0.9 Novější BackFire se mi nechce zatím dávat.
Je to opravdu IPTABLES? není to náhodou iptables, popř. $IPTABLES (proměnná)? Rovněž je vhodné přidávat plnou cestu k programu, tj. (např.) /sbin/iptables, ve skriptech totiž nemusí být plně rozvinuta proměnná PATH.
edit: být Tebou, řešil bych to na úrovni DNS (bude to stačit na většinu uživatelů):
1. v dnsmasq.conf zřídit blacklist na fakabůk (popř. další weby)
2. zakázat v iptables forward portu ven/dovnitř 53/TCP a 53/UDP (zákaz vnějšího DNS)
Dík, přepsal jsem to na malý písmena (neuvědomil jsem si že Linux to rozlišuje) ale zas to píše: couldn´t load match iprange: File not found, že by taky blbě velikost písma? Na DNS mám zakázaný všechny domény fuckbooku který jsem našel, ale i tak jsem v logu (Open DNS) našel pokusy o přístup. Jsou to zřejmně nějaký prvky stránek, nikdo jiný mimo mně nemá na tahle pc přístup a já to blokuju kde můžu, ale asi špatně. Chtěl jsem si to vyzkoušet, moc se v Linuxu neorientuju. Celkově mám v IPTABLES bordel, potřeboval bych nastavit nějaký rozumný pravidla, trochu to učesat - nepotřebuju přesměrování portů, nic takovýho, jenže vždycky jen něco kdesi objevím na diskuzích, ale moudrej z toho nejsem. Připadá mi to dost složitý.
Jenže nikde jsem neobjevil třeba nějaký základní souhrn, někdo kdo to má nastavený. V zásadě zakázat všechno zvenku a povolit jen co je třeba
Takže tam vždycky něco dám a postupuju metodou pokus-omyl...
Edit: Nojo, teď to čtu pořádně, jdu se na to mrknout
iprange je určitě zaváděn jako modul, takže budeš potřebovat doinstalovat modul a pak jej modprobnout (modprobe jméno_modulu), aby se zavedl
netfilter
Uff :( to je na mně moc. Zkusil bych radši ten blacklist v dnsmasq.conf. Každopádně moc dík, i když zatím netuším jak na to, zkusím hledat.
Ja len taka otazka, preco je tam src-range? Pokial predpokladam tvoju topologiu siete tak ako predpokladam, tak tam ma byt predsa dst a nie src.
Našel jsem to někde, asi to vzdám, vypadá to že to nejsem schopen dát dokupy. Holt na to nemám buňky ;)Ten router umí fůru věcí a já ho využívám tak na 20% což mně štve, jenže nemám tolik času, abych se mohl věnovat podrobnýmu studiu, zvlášť když je většina dokumentace a postupů v angličtině. S tou si taky moc netykám.
Pokial to nie je nijako specialne upravene malo by ti fungovat nieco taketo.
/usr/sbin/iptables -A FORWARD -p tcp -s 10.100.0.0/16 -d 100.200.100.0/17 -j DROP
Edit:
66.220.144.0-66.220.159.255
Takze predpokladam, ze mas klasicky lan IP rozsah 193.168.0.0/24 (cesta k iptables moze byt ina)
/usr/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 66.220.144.0/19 -j DROP
Jo tak to mám. Našel jsem totiž původně tohle: www.dd-wrt.com/wiki/index.php/Iptables_command#Bas ic_Usage
Deny access to a specific IP address
iptables -I FORWARD -d 123.123.123.123 -j DROP
Deny access to a specific IP address range with Logging
iptables -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.13 -j logdrop
podle toho jsem to bastlil.
Proč tam je na konci v tvým příspěvku /19 to je rozsah? Ten je ale větší, ovšem chyby to už žádný nehází
Ten rozsah jsem psal nahoře, je to šílených IP, abych je tam dával po jedný, to je blbost. Jinak to dávám do etc/firewall.user
to /19 je maska, 19 bitů. Ekvivalentní zápis takové masky je 255.255.224.0