Firewall negar intervalo de ips no iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 31/05/2011 - 22:06h

olá pessoal, tudo bem?

estou com um problema no meu iptables que descrevo abaixo:

pretendo aceitar conexões de uma faixa de ips e negar pra o resto e então fiz o seguinte:

# iptables -A INPUT -m iprange --src-range 192.168.0.x-192.168.0.y -j DROP #( ASSIM FUNCIONA ELE BLOQUEA ESSA FAIXA DE IPS E PERMITE O RESTO, PORÉM QUANDO FAÇO O CONTRATIO NÃO FUNCIONA.

# iptables -A INPUT -m iprange --src-range 192.168.0.x-192.168.0.y -j ACCEPT #( ou seja permitir essa faixa de ips e negar o resto)

alguem tem alguma ideia do que seja, ou tem algo que não tenho conhecimento até o momento?
aguardo os posts.

removido
(usa Nenhuma)

Enviado em 31/05/2011 - 22:41h

ai galera ninguem nunca utilizou o modulo iprange? ninguem com mais experiência?

dimasdaros
(usa Arch Linux)

Enviado em 31/05/2011 - 22:42h

Não intendi o "PORÉM QUANDO FAÇO O CONTRATIO NÃO FUNCIONA".
Seria quando libera primeiro e depois bloqueia?

Se for, é porque é sequencial, se a faixa que você está bloqueando está dentro da que você liberou primeiro ele não vai bloquear, porque já fora liberado.

Se não for isso, tens como explicar melhor ai?

removido
(usa Nenhuma)

Enviado em 31/05/2011 - 22:57h

não é isso amigo dimasdaros,

vou explicar assim:

tenho uma rede aqui configurada, porém uma das maquinas estou montando um script de firewall, só que em uma das regras acontece o seguinte:

utilizo o modulo iprange, este modulo ele faz uso de uma faixa de endereços de ips.

dai pretendo aceitar conexões das maquinas A,B,C,D e negar pra o resto, dai uso o seguinte comando:

# iptables -A INPUT -m iprange --src-range 192.168.0.A-192.168.0.D -j ACCEPT # então ele aceita não só as conexões das maquinas de A até D mas como as conexões das outras maquinas que era pra bloquear.

OBS: mas quando uso:

# iptables -A INPUT -m iprange --src-range 192.168.0.A-192.168.0.D -j DROP # ai ele nega a conexão com as maquinas deste intervalo de A até D e aceita para as outras maquinas ous eja funciona numa boa.

sabe me dizer por que no primeiro comando ele não funciona, ou seja aceita conexões de A até D e nega pra o resto?

aguardo respota....

dimasdaros
(usa Arch Linux)

Enviado em 31/05/2011 - 23:07h

Acredito ter algo a ver com a política padrão.
Por padrão, o que não está definido no script é liberado ou bloqueado?

Colocando isso:
iptables -P FORWARD DROP

no inicio do script de firewall, denife que por padrão vá bloquear, tente fazer isso
pois na linha:
iptables -A INPUT -m iprange --src-range 192.168.0.x-192.168.0.y -j ACCEPT
Você não está bloqueando nada, simplesmente liberando, mas se por padrão tudo é liberado, fica igual trocar 6 por meia duzia
Coisas que você não liberou podem/vão parar de funcionar dai ^^"


não sei se consegui explicar muito bem, não sou tão bom professor como alguns ai do VOL, mas qualquer coisa só dar um grito aew =D

removido
(usa Nenhuma)

Enviado em 31/05/2011 - 23:30h

entendi sim mas consegui resolver isso colocando o sinal de exclamação "!" antes do intervao de endereços.