Sziasztok!
Egy szabályt próbálok negálni, de következőt kapom érte:
"Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`)."
A szabály egyszerűsítve:
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 ! -s 192.168.0.2 -j DROP
(ha a negálást a src és IP közé rakom, akkor is ez a probléma)
Köszi a segítséget !
------------------------
10.04lts, iptables 1.4.4
- 1772 megtekintés
Hozzászólások
Pedig hiba pontosan azt mondja, hogy -s elé rakjam a negálást :S
- A hozzászóláshoz be kell jelentkezni
És az egyszerűsített szabályod lefut?
- A hozzászóláshoz be kell jelentkezni
Átugorja.
* html {display: none}
- A hozzászóláshoz be kell jelentkezni
Tehát a csomag és ez a szabály nem illeszkedik. Biztos hogy valóban ilyen forgalmat akarsz szűrni (lásd az alábbi kérdésemet a forgalom jellegéről)?
Ha viszont tényleg az van, hogy minden szepontból megfelelő szabályt állítottál fel, és van is ilyen bejövő forgalmad, és abban is biztos vagy, hogy a sorban megelőző egyik szabályban sem kezelted, akkor arról légy szíves dobj ide egy tcpdump -envvvs 0 ether src 00:00:00:00:00:00 és egy iptables -nvL INPUT kimenetet.
- A hozzászóláshoz be kell jelentkezni
"10.04lts, iptables 1.4.4"
Te minden bizonnyal ezt a csomagot (1.4.4-2ubuntu2) használod. Biztos előtte nézted már, hogy van-e róla bugreport. Itt egy példa arra, hogy az 1.4.4-2ubuntu2 csomagban lévő iptables (input interfésznél) extrapositioned megadásnál nem ad hibaüzenetet, szemben a te eseteddel.
Egyébiránt ez csak warning kellene hogy legyen, tehát a szabály bekerül ilyenkor is. Debian Squeeze 6.0.4 alatt az iptables v1.4.8 mindenféle üzenet nélkül elfogadja. Az intrapositionre természetesen warningot ad.
Mellékszál: milyen forgalom az, ami konkrétan a 00:00:00:00:00:00-ról jön, és erre a MAC-re érdemes szűrni, nem pedig input interfészre? Lehet hogy van ilyen, csak most nem jut eszembe példa erre.
- A hozzászóláshoz be kell jelentkezni
es hogy nez ki a nem leegyszerusitett szabaly?
- A hozzászóláshoz be kell jelentkezni
Érdekes módon lett megszögelve:
Ha nem "! -s" opciót használok, hanem "! --source" -t, akkor már nem ír warningot.
Viszont én is azt olvastam, hogy ennek csak egy warning-nak kéne lennie, hogy elavult használat, és hogy mostantól ki kell rakni a negálást...
De továbbra sem értem, hogy az első variáció miért nem tetszik neki.
* html {display: none}
- A hozzászóláshoz be kell jelentkezni
Érdekes probléma. A fenti egyik illetve másik hozzászólás kérdéseire tudnál válaszolni? Csak mert nálam nem áll össze a kép, hogy milyen feltételek mentén kaptál ilyen eredményt, tehát azt, hogy nem warning volt, és nem is működött a szabály.
- A hozzászóláshoz be kell jelentkezni
Fentieket letesztelve, warning üzenet ellenére LEFUTOTT a szabály. Én néztem el, sorry.
(A 00:00:00..... mac pedig az én MAC címem maszkolt változata :D )
* html {display: none}
- A hozzászóláshoz be kell jelentkezni